تحذير من عودة نشاط مجموعة OldGremlin المتخصصة ببرمجيات الفدية

كشف فريق أبحاث التهديدات في كاسبرسكي عن هجمات جديدة شنتها مجموعة «أولدجريملن» (OldGremlin) المختصة في برمجيات الفدية خلال مطلع عام 2025، مما يدل بوضوح على عودة نشاطاتها وعملياتها التي استهدفت شركات التصنيع، والرعاية الصحية، وتجارة التجزئة، والتكنولوجيا، وسبق لها أن طالبت إحدى ضحاياها بمبلغ فدية بلغت نحو17 مليون دولار أمريكي.

اكتشفت مجموعة OldGremlin لأول مرة قبل خمس سنوات، وتعتمد منذ ذلك الوقت على تقنيات وأساليب متطورة في هجماتها. فقد يظلالمهاجمون متخفين في نظام الضحية لمدة طويلة بمتوسط 49 يوماً تقريباً، ثم يشرعون في تشفير الملفات. ونشطت هذه المجموعة الإجرامية الروسية بين عامي 2020 و2022، في حين رُصِدَت آخر نشاطاتها عام 2024. وسبق لها في هجمات سابقة أن طالبت بمبالغ فدية ضخمة؛ إذ طلبت من ضحية واحدة مبلغاً قدره 17 مليون دولار أمريكي.

في حملة عام 2025، طور المجرمون ترسانة أدواتهم الهجومية، مستعينين برسائل البريد الإلكتروني التصيدية وبرمجيات خبيثة متنوعة لاختراق أجهزة الضحايا. كما يستخدمون باباً خلفياً للوصول عن بعد إلى الأجهزة المصابة والتحكم بها. ويستغلون ثغرة أمنية في برنامج تشغيل شرعي لتعطيل حماية ويندوز، وتفعيل برنامج تشغيل خبيث خاص بهم لا يحمل توقيعاً رقمياً، وهذا يتيح لهم تشغيل برمجية الفدية. واستخدم المهاجمون كذلك منصة Node.js الشرعية (بيئة تشغيل JavaScript) لتشغيل ملف السكربت البرمجي للبرمجية الخبيثة. وأطلقت المجموعة على هجماتها السيبرانية اسماً مميزاً، فأوردت اسم (OldGremlins) في رسائل المطالبة بالفدية، وهو اسم معدل قليلاً أطلقه عليها الخبراء سابقاً.

لا تكتفي البرمجية الخبيثة في الحملة الجديدة بتشفير الملفات المستهدفة، بل تقتصر على إبلاغ المتسللين بالوضع الحالي لجهاز الضحية. وفي نهاية المطاف تعزل الأداة الرابعة (closethedoor) الجهاز عن الشبكة في أثناء عملية التشفير، وتترك رسائل المطالبة بالفدية، وتخفي علامات الهجوم، فيتعذر متابعة التحقيق في العملية.

يعلق على هذه المسألة يانيس زينتشينكو، خبير أبحاث التهديدات السيبرانية لدى كاسبرسكي: «هذه الهجمات الأخيرة لمجموعة OldGremlin دليلٌ فعليّ أنّ الشركات ليست في مأمن من تهديدات ومخاطر المجموعات الإجرامية غير النشطة. فقد عاود المهاجمون عملياتهم بأدوات محسنة، مما يبرهن عن ضرورة متابعة الشركات للتقنيات والأساليب التي يستخدمها المهاجمون لتفادي الهجمات المستقبلية. ففي الحملة الأخيرة خلال عام 2025، لم تكتفِ المجموعة باستئناف نشاطها الإجرامي، بل تبنّت الاسم الذي أطلقه عليها خبراء الأمن السيبراني، لتعلن بذلك عن وجودها متحدية الجميع.»

عرّفت منتجات كاسبرسكي وحلولها الأمنية برمجية الفدية بالاسم الرمزي: Trojan-Ransom.Win64.OldGremlin وBackdoor.JS.Agent.og وHEUR:Trojan.JS.Starter.og وHEUR:Trojan-Ransom.Win64.Generic.

توصي كاسبرسكي المؤسسات والشركات على اتباع أفضل الممارسات الأمنية للحماية من برمجيات الفدية، ويتضمن ذلك ما يلي:

• استخدم حلولاً من سلسلة منتجات (Kaspersky Next) التي تقدم حماية فورية، ورؤية واضحة للتهديدات، وقدرات التحقق والاستجابة المتاحة ضمن حلول EDR وXDR للمؤسسات.

• حرص دائماً على تحديث البرامج في جميع الأجهزة المستخدمة، لتجنب استغلال المهاجمين للثغرات الأمنية والتسلل إلى شبكتك.

• عزّز استراتيجيتك الدفاعية بالتركيز على اكتشاف التحركات الجانبية في الشبكة وتسرب البيانات إلى الإنترنت. وراقب حركة البيانات الصادرة للكشف عن اتصالات المجرمين السيبرانيين بشبكتك.

• احرص على إنشاء نسخ احتياطية غير متصلة بالإنترنت، ومحصّنة من المهاجمين. واحرص كذلك على سهولة الوصول إليها عند الحاجة أو في حالات الطوارئ.

• تابع أحدث بيانات استخبارات التهديدات الأمنية للاطلاع دوماً على الأساليب والتقنيات والإجراءات التي يعتمدها المجرمون.