فيروس الفدية Prinz Eugen: يستهدف ملفاتك الحديثة ويختفي دون أثر

مقدمة تحليلية

كشف تحليل حديث أجرته Threatdown، الذراع المؤسسية للأمن السيبراني في Malwarebytes، عن ظهور عملية فيروس فدية جديدة تحمل اسم 'Prinz Eugen' تتميز باستراتيجية فريدة ومثيرة للقلق. على عكس العديد من عمليات الفدية التقليدية، لا يكتفي Prinz Eugen بتشفير البيانات فحسب، بل يولي أولوية قصوى للملفات التي تم تعديلها مؤخرًا، مما يزيد من الضغط على الضحايا لاستعادة البيانات الحيوية. الأخطر من ذلك هو أن هذا الفيروس لا يترك أي ملاحظات فدية على الأنظمة المخترقة، مما يجعل مرحلة الابتزاز أكثر غموضًا ويصعّب على فرق الأمن اكتشافها.

تشير التحقيقات إلى أن قراصنة Prinz Eugen يتبعون أسلوب 'hands-on-keyboard'، أي التدخل اليدوي المباشر في الأنظمة، مفضلين استخدام برامج المراقبة والإدارة عن بعد (RMM) الشرعية وأدوات 'living-off-the-land' المتاحة ضمن بيئة الضحية. هذا النهج يقلل من البصمة الجنائية ويزيد من صعوبة الكشف، حيث تبدو الأنشطة الخبيثة وكأنها عمليات نظام عادية. هذه التطورات تستدعي مراجعة شاملة لاستراتيجيات الأمن السيبراني المعتادة، خاصة فيما يتعلق باكتشاف التهديدات الخفية والاستجابة لها.

التحليل التقني

يعتمد فيروس الفدية Prinz Eugen، المطور بلغة Go، على استراتيجية تشفير تركز على الكفاءة والتأثير. يكشف التحليل الفني أن الفيروس يقوم بمسح الدلائل بشكل متكرر ودون قيود على العمق أو استثناءات، ويقوم بتشفير جميع الملفات تقريبًا باستثناء تلك التي تحمل الامتداد .prinzeugen، وهو الامتداد الذي يضيفه للملفات المشفرة. لكن السمة الأبرز هي استهداف الملفات المعدلة حديثًا؛ فعندما تتشارك ملفات متعددة نفس الطابع الزمني (timestamp)، تتم معالجتها أبجديًا. يعتقد باحثو Threatdown أن هذا التكتيك يهدف إلى زيادة تأثير الهجوم على الضحايا باستهداف الملفات الأكثر حيوية للعمل والنشطة، مما يضاعف الضغط لدفع الفدية.

تتضمن آليات التشفير المستخدمة في Prinz Eugen ما يلي:

• خوارزمية التشفير: يستخدم ChaCha20-Poly1305.
• المفتاح الرئيسي: مفتاح رئيسي بحجم 32 بايت.
• ناقل التهيئة (IV): ناقل تهيئة عشوائي لكل ملف.
• وظيفة اشتقاق المفتاح (KDF): تعتمد على Argon2id وSHA-256 وHKDF-SHA256.
• طريقة التشفير: تتم عملية التشفير في كتل بحجم 1 ميجابايت.
• التحقق من سلامة الملف: يتم استخدام دالة التجزئة SHA-256.

فيما يتعلق بعمليات ما بعد التشفير، لاحظ الباحثون أن الفيروس يستخدم علامة `--delete` لحذف الملف الأصلي بعد تشفيره، ولكن يتم إجراء فحص لضمان إمكانية فك تشفير الملف قبل حذفه من النظام. لمنع استرجاع مفتاح التشفير، يقوم Prinz Eugen بمسحه بالكامل عن طريق الكتابة فوقه بالأصفار، ثم يفرض عملية جمع البيانات المهملة (garbage collection) لإزالته من الذاكرة، وبعد ذلك يحذف نفسه ذاتيًا من القرص. يساهم هذا النهج في تقليل البصمة الجنائية بشكل كبير، مما يجعل عملية التعافي والتحقيق أكثر صعوبة.

تشير الأبحاث إلى أن الوصول الأولي للتهديد يتم على الأرجح من خلال بيانات اعتماد RDP المسروقة، يتبعها التنزيل اليدوي وتشغيل الحمولة الأساسية، والتي تعرف باسم 'servertool.exe'. في إحدى الحوادث التي تم التحقيق فيها، لوحظ استخدام أداة RMM من RemotePC وحساب مسؤول خلفي (backdoor administrator account) لضمان الاستمرارية داخل الشبكة المخترقة.

السياق وتأثير السوق

على عكس العديد من عمليات الابتزاز الحديثة، لا يعمل Prinz Eugen ضمن نموذج فيروس الفدية كخدمة (RaaS)، أو على الأقل لا يقوم مطوروه حاليًا بتجنيد شركاء تابعين. هذا التمييز مهم، حيث يشير إلى أن العملية قد تكون أكثر مركزية وأقل انتشارًا من نظيراتها التي تعتمد على نموذج RaaS، ولكنها لا تقل خطورة. الطابع اليدوي والتحكم المباشر (hands-on-keyboard) يعني أن المهاجمين يمكنهم التكيف مع بيئة الضحية، مما يجعل اكتشافهم صعبًا للغاية.

في الوقت الحالي، لا يسرد موقع تسريب البيانات الخاص بالجهة الفاعلة للتهديد سوى ثلاث ضحايا، وكل واحدة منها تشير إلى أن القراصنة يشاركون في تشفير البيانات، أو سرقتها، أو كليهما. ومع ذلك، يدرك مجتمع الأمن السيبراني وجود المزيد من المنظمات المتأثرة بفيروس الفدية Prinz Eugen. من بين الضحايا المعروفين، حادثة Standard Bank، حيث طالب المهاجمون بفدية قدرها 1 BTC، والتي تم رفضها. يؤكد هذا الحادث أن Prinz Eugen يستهدف كيانات كبيرة ويطالب بمبالغ كبيرة، مما يعكس الثقة في قدرته على التأثير.

غياب ملاحظة الفدية التقليدية أو تغيير خلفية سطح المكتب، وهي تكتيكات شائعة بين مجموعات الفدية المنظمة، هو إشارة إلى أن Prinz Eugen يسعى لتقليل البصمة الجنائية وجعل اكتشاف مرحلة الابتزاز تلقائيًا أكثر صعوبة. من خلال نقل اتصالات الفدية بالكامل خارج النطاق (عبر البريد الإلكتروني المباشر أو الاتصال الهاتفي أو بوابات الضحايا على الويب المظلم)، يقلل الفاعل من الأدلة الجنائية ويعقّد الكشف الآلي عن مرحلة الابتزاز. هذا التطور يشير إلى نضج متزايد في تكتيكات مجموعات الفدية، حيث ينتقل التركيز من التشفير الواضح إلى الابتزاز الخفي.

رؤية Glitch4Techs

تمثل عملية فيروس الفدية Prinz Eugen تحولًا مثيرًا للقلق في مشهد التهديدات السيبرانية. إن استراتيجيتها التي تركز على الملفات الحديثة، والتي غالبًا ما تكون الأكثر حيوية للعمليات اليومية للشركات، تزيد بشكل كبير من الضغط على الضحايا للدفع بسرعة. هذا التركيز على 'الاحتياجات المباشرة' للضحية يمثل تطورًا تكتيكيًا ذكيًا من شأنه أن يجعل الهجمات أكثر فعالية من الناحية المالية للمهاجمين.

تكمن المخاوف الأمنية الرئيسية في القدرة على التخفي. إن غياب ملاحظات الفدية التقليدية، بالإضافة إلى مسح مفتاح التشفير الذاتي وحذف الفيروس لنفسه من القرص، يجعل تحديد هذا التهديد والتحقيق فيه بعد وقوعه تحديًا كبيرًا. تعتمد الفرق الأمنية غالبًا على هذه الآثار الجنائية الأولية لتقييم مدى الهجوم وتحديد أساليبه. بدونها، قد يستغرق الأمر وقتًا أطول بكثير لاكتشاف الاختراق وتحديد الجهة الفاعلة، مما يمنح المهاجمين ميزة كبيرة.

نتوقع أن تستمر مجموعات الفدية الأخرى في تبني تكتيكات مماثلة لزيادة سرية عملياتها وتقليل مخاطر الكشف. من الضروري للمؤسسات تجاوز الدفاعات التقليدية القائمة على الكشف عن البرامج الضارة المعروفة، والتركيز بدلاً من ذلك على مراقبة السلوك الشاذ في الشبكة والأنظمة. يجب أن يشمل ذلك مراقبة صارمة لأنشطة RMM وأدوات 'living-off-the-land' التي يمكن إساءة استخدامها. بناءً على رؤية Glitch4Techs، فإن الدفاع الفعال ضد Prinz Eugen وأمثاله يتطلب نهجًا استباقيًا يدمج الذكاء الاصطناعي وتعلم الآلة في أنظمة الكشف عن التهديدات السلوكية، وتدريب الموظفين على اكتشاف محاولات التصيد التي تؤدي إلى سرقة بيانات RDP. كما يجب الاستثمار في حلول اختبار الاختراق ومحاكاة الهجمات لاختبار مرونة الدفاعات الحالية ضد مثل هذه التهديدات الخفية.