كيف أدى خطأ مبتدئ إلى تدمير برنامج الفدية المؤيد لروسيا بنفسه

ثغرة قاتلة في أحدث برامج الفدية من CyberVolk تتيح للضحايا فك تشفير ملفاتهم، كاشفة عن تصدعات في الجريمة السيبرانية النشطة.

عندما حاولت مجموعة هاكتيفيست سيئة السمعة تحديث برنامج الفدية الخاص بها للهيمنة على ساحة المعركة الرقمية، سلمت المفاتيح عن غير قصد إلى ضحاياها أنفسهم. في تطور يشبه روايات الإثارة السيبرانية، يحتوي الإصدار الأخير من "VolkLocker" التابع لـCyberVolk على خطأ جسيم يسمح للمنظمات المستهدفة بفك تشفير بياناتها - دون الحاجة لدفع الفدية.

حقائق سريعة

CyberVolk، مجموعة هاكتيفيست مؤيدة لروسيا، أعادت إطلاق منصة برامج الفدية كخدمة (RaaS) في أغسطس 2025.
الإصدار الجديد "VolkLocker" يخزن مفاتيح فك التشفير الرئيسية بنص واضح، مما يسهل استعادة الضحايا لبياناتهم.
عمليات التحكم والسيطرة في برنامج الفدية مؤتمتة بالكامل عبر تيليغرام.
تتراوح تراخيص البرمجية بين 800 و2200 دولار، مع إضافات مثل مسجلات المفاتيح تُباع بشكل منفصل.
كشف باحثو SentinelOne عن الثغرة ونشروا مؤشرات الاختراق لمساعدة المدافعين.

تخريب رقمي - من الداخل إلى الخارج

ظهرت CyberVolk لأول مرة في أواخر 2024، ولفتت الأنظار بسبب توافق هجماتها مع مصالح الدولة الروسية، وغالبًا ما استهدفت كيانات عامة وحكومية. بعد فترة هدوء نتيجة حملة تيليغرام على القنوات الإجرامية، حاولت المجموعة العودة في 2025 بعرض RaaS محدث: VolkLocker 2.x. تميز هذا الإصدار الجديد بأتمتة متقدمة عبر تيليغرام، مما أتاح للشركاء إدارة الهجمات والمدفوعات والدعم من خلال محادثات مشفرة.

لكن خلف الواجهة الأنيقة والتسويق العدواني كان يختبئ خطأ كارثي. بدلاً من توليد مفاتيح تشفير فريدة لكل ضحية، قام VolkLocker بترميز مفتاح رئيسي مباشرة في الكود، والأسوأ من ذلك، حفظه في ملف غير محمي داخل نظام الضحية. هذا الملف النصي الواضح - الموجود في مجلد %TEMP% - يعمل كمفتاح رئيسي، مما يمنح أي شخص يجده القدرة على فك تشفير جميع الملفات المتأثرة.

يعتقد خبراء الأمن أن هذا "الأثر التجريبي" لم يكن من المفترض أن يتم تضمينه في النسخة النهائية من برنامج الفدية. وجوده يشير إلى عملية تطوير متسرعة وغياب الرقابة على الجودة، على الأرجح بسبب سعي CyberVolk لتجنيد شركاء أقل خبرة. ونتيجة لذلك، يمكن للضحايا الذين يعثرون على الملف تجاوز مطالب الفدية بالكامل - وهو انتصار نادر في حروب برامج الفدية المتصاعدة.

تيليغرام: مركز القيادة الجديد لبرامج الفدية

اعتماد CyberVolk على تيليغرام يعكس اتجاهًا أوسع بين مجموعات الهاكتيفيست والمجرمين السيبرانيين. بفضل الرسائل المشفرة من طرف إلى طرف والروبوتات القابلة للتخصيص، يتيح تيليغرام للمشغلين تبسيط الهجمات وتجنب تدخل سلطات إنفاذ القانون. حتى أن نموذج التسعير الخاص بالمجموعة يتضمن إضافات حسب الطلب مثل أحصنة طروادة للوصول عن بعد ومسجلات المفاتيح، مما يخفض الحواجز أمام المجرمين السيبرانيين المحتملين.

ومع ذلك، كما يظهر فشل VolkLocker، حتى أكثر التقنيات الإجرامية تطورًا يمكن أن تنهار بسبب أخطاء أساسية. إعلان SentinelOne العلني يمثل تحذيرًا للمدافعين والخصوم على حد سواء: في عالم برامج الفدية عالي المخاطر، يمكن أن يكون الكود الرديء خطيرًا على المجرمين كما هو على ضحاياهم.