إطلاق العنان لبرمجية الفدية “Payload”: المستشفيات، والهايبرفايزر، وعصر جديد من الابتزاز المزدوج بلا هوادة

العنوان الفرعي: عصابة جرائم إلكترونية متطورة تمزج تشفيرًا مستوحى من Babuk مع تكتيكات قاسية، مستهدفةً أنظمة Windows وESXi معًا - وتخلّف وراءها أثرًا من الضحايا المدمّرين عبر القطاعات والقارات.

في العالم المعتم لبرمجيات الفدية، يبرز اسم جديد بسرعة إلى صدارة قوائم مراقبة المدافعين: Payload. خلال أسابيع قليلة فقط، ضربت هذه المجموعة مؤسسات تمتد من العقارات إلى الرعاية الصحية، جامعةً بين هندسة تشفير متقدمة وكتيّب ترهيب ومحوٍ رقمي. أحدث “صيد” لها؟ مستشفى كبير، مع أكثر من 100 جيجابايت من البيانات الحساسة على المحك وساعة عدٍّ تنازلي تدق على الويب المظلم.

حقائق سريعة

ظهرت برمجية الفدية Payload علنًا في فبراير 2026، وسرعان ما حصدت ضحايا عبر ما لا يقل عن سبع دول.
تستهدف أنظمة Windows وVMware ESXi معًا عبر ملفات تنفيذية مخصّصة وتشفير على طريقة Babuk.
تستخدم الابتزاز المزدوج: سرقة البيانات، وتشفير الملفات، والتشهير العلني عبر موقع تسريب على Tor.
من الضحايا البارزين مستشفى رويال البحرين، مع ادعاء سرقة 110 جيجابايت من البيانات الحساسة.
تستعمل تشفيرًا قويًا (Curve25519 وChaCha20) وتقنيات مضادة للأدلة الجنائية بشكل عدواني لإحباط الاستعادة والكشف.

هجمات Payload حديثة بقدر ما هي بلا رحمة. تزعم المجموعة أنها بدأت عملياتها منذ منتصف فبراير 2026، وقد باتت تتباهى بالفعل بقائمة تضم ما لا يقل عن اثني عشر ضحية تمتد عبر الرعاية الصحية والاتصالات والطاقة والزراعة - كثير منها في الأسواق الناشئة، حيث قد تتأخر الدفاعات الرقمية. تكتيكاتها تتبع نموذج الابتزاز المزدوج المعروف الآن: أولًا، تسرق كميات هائلة من البيانات السرية؛ ثم تُشفّر الملفات الحرجة، مع التهديد بفضح الضحايا على موقع تسريب علني قائم على Tor إذا لم تُدفع الفدية.

تكشف الهندسة العكسية عن النَسَب التقني لـPayload. برمجيتها الخبيثة على Windows، المُجمّعة لتحقيق أقصى قدر من التخفي والكفاءة، تستخدم تشفيرًا مستلًا مباشرة من كتيّب Babuk. تبادل مفاتيح Curve25519، وشيفرات ملفات ChaCha20، وعشوائية لكل ملف تضمن أنه - من دون المفاتيح الخاصة للمهاجمين - لا أمل للضحايا في الاستعادة. وعلى خلاف بعض عائلات برمجيات الفدية، لم يُعثر على أي اختصارات تشفيرية أو “أبواب خلفية” للاستعادة. وقد تعمل تذييلة ملف غريبة بطول 56 بايت مشفّرة بـRC4 ومحميّة بالمفتاح “FBI” كتوقيع، لكنها لا تقدم أي نقطة ضعف يمكن للمدافعين استغلالها.

لكن Payload ليست تهديدًا يقتصر على Windows. فالمجموعة تنشر ملفًا تنفيذيًا مبسّطًا على Linux يستهدف هايبرفايزر VMware ESXi، ويحلّل ملفات الجرد ويُشفّر الآلات الافتراضية بالتوازي - سيناريو كابوسي للمؤسسات التي تشغّل بنى تحتية حرجة ضمن بيئات افتراضية. منتجات الأمن تكافح للحاق بالركب، وغالبًا ما تُخطئ في تصنيف Payload على أنها Babuk بسبب إعادة استخدام واسعة للكود، لكن حتى الآن لا توجد أدلة على وجود عملية “برمجيات فدية كخدمة” أوسع خلف الكواليس.

تقنيًا، Payload لا تعرف الرحمة: تقتل عمليات النسخ الاحتياطي والأمن، وتمحو النسخ الظلية، وتزيل سجلات الأحداث، بل وتزيل نفسها لإحباط التحقيقات الجنائية الرقمية. وتوجّه مذكرة الفدية المضمّنة الضحايا إلى بوابة Tor للتفاوض، مع تهديدات بنشر كامل البيانات إذا لم تُلبَّ المطالب. وبالنسبة للرعاية الصحية وغيرها من القطاعات الحرجة، لا يمكن أن تكون المخاطر أعلى - خصوصية البيانات، واستمرارية الأعمال، وحتى سلامة المرضى كلها على المحك.

ومع اقتراب العدّ التنازلي في مواقع تسريب Payload وظهور ضحايا جدد، يتضح أمر واحد: هذه العملية تمثل تصعيدًا جديدًا في سباق تسلّح برمجيات الفدية. ومع عدم وجود مؤشرات على التباطؤ وغياب حلول تقنية سهلة، يجب على المدافعين البقاء يقظين، وتحديث قواعد الكشف، والاستعداد لمستقبل تكون فيه الملفات والسمعة معًا دائمًا في دائرة الخطر.

WIKICROOK

Babuk: Babuk سلالة من برمجيات الفدية معروفة بتشفير البيانات، وبعد تسريب شفرتها المصدرية ألهمت تهديدات جديدة مثل برمجية الفدية Midnight.
Curve25519: Curve25519 خوارزمية منحنى إهليلجي آمنة وفعّالة تُستخدم لتبادل المفاتيح في بروتوكولات مثل TLS وSSH وSignal.
ChaCha20: ChaCha20 خوارزمية تشفير سريعة وآمنة تُشوّش البيانات لحمايتها من الوصول غير المصرح به، وتُستخدم على نطاق واسع في الأمن السيبراني الحديث.
Double: الابتزاز المزدوج هجوم سيبراني يقوم فيه المجرمون بتشفير البيانات وسرقتها معًا، مهددين بتسريبها ما لم يدفع الضحية فدية.
VMware ESXi: VMware ESXi منصة افتراضية شائعة تتيح تشغيل عدة آلات افتراضية على خادم مادي واحد، ما يعزز الكفاءة والأمان.