Nouvelle réglementation de cybersécurité 2026 en vigueur au Maroc. Obtenir un audit de conformité gratuit →
← Retour au blog
Ethical-hacking 2025-08-11 ⏱️ 15 min

فيروسات الفدية كخدمة (RaaS): فهم نموذج العمل العصابي والمنتسبين

فيروسات الفدية كخدمة (RaaS): الفهم العميق لنموذج عمل العصابات السيبرانية وكيفية تدميره

في أوائل العقد الأول من القرن الحادي والعشرين، كان تنفيذ هجوم ببرامج الفدية (Ransomware) يتطلب مستوى عالياً جداً من التطور التقني. كان على القراصنة فهم عمليات التشفير المعقدة لكتابة برمجة رياضية قوية لا يمكن فكها، وإدارة هيكل قيادة واتصال واسع النطاق (C2) عبر شبكة الدارك ويب (Tor)، ومعالجة مدفوعات العملات الرقمية دون ترك أي أثر للشرطة الدولية.

بسبب هذه العوائق المعرفية الضخمة، كانت هجمات الفدية نادرة نسبياً، وتقتصر عموماً على الجواسيس أو عصابات النخبة شديدة التعليم.

اليوم، تغير المشهد بأكمله من الجذور! لم تعد بحاجة لأن تكون عبقرياً في التشفير لتشغيل هجوم فدية مدمر ضد شركة بملايين الدولارات؛ بل تحتاج فقط إلى بضعة آلاف من الدولارات للحصول على الدخول الأولي.

هذا التحول المرعب يقوده نموذج فيروسات الفدية كخدمة (RaaS)، وهو نموذج عمل تجاري موازي للشركات البرمجية، حيث يقوم المطورون النخبة "بتأجير" أدواتهم المبرمجة بالكامل، إلى قراصنة أقل مهارة يُدعون "المنتسبون أو العملاء" مقابل نسبة مئوية (قُسمة) من دفعات الفدية النهائية. في هذا الدليل التقني الشامل، يقوم فريق خبراء Cayvora Security بتفكيك بيئة الـ RaaS ليكشف كيف تعمل وكيف يمكن لشركتك الدفاع ضدها.

الثالوث الشيطاني لبيئة عمل הـ RaaS

يعكس اقتصاد عصابات برامج الفدية تماماً نموذج الشركات الناشئة في وادي السيليكون (SaaS)، ويعمل من خلال تقسيم صارم للعمل والأدوار التخصصية.

1. المشغلون الأساسيون (المطورون)

المشغلون هم المهندسون. لا يخترقون الشركات بأنفسهم. وظيفتهم الوحيدة هي كتابة كود الفيروس وصيانته وتحديثه (بصيغ مثل .exe أو .elf). يركزون بقوة على تجاوز برامج مكافحة الفيروسات المتقدمة (EDR)، وسرعة التشفير (باستخدام التشفير المتقطع لضرب خوادم شركة كاملة في 4 ثوانٍ)، وصيانة مواقع تسريب البيانات المظلمة (DLS).

تشمل الأمثلة البارزة لهذه الجهات مجموعات مثل LockBit و ALPHV و Conti. يوفر هؤلاء المشغلون لوحة تحكم سحابية لعملائهم المهاجمين، كاملة مع دعم فني متصل على مدار الساعة (24/7) وفريق مخصص لمفاوضة الضحايا (خدمة عملاء)!

2. المنتسبون (المهاجمون على الأرض)

المنتسبون (Affiliates) هم المجرمون الميدانيون الذين ينفذون عملية اختراق الشبكة بأنفسهم. يتقدمون بطلب للانضمام إلى برنامج العصابة (غالباً ما يمرون بمقابلة فنية وامتحان شفوي في منتديات الويب المظلم). بمجرد قبولهم، يتسلمون نسخة مخصصة من فيروس الفدية مرتبطة بهويتهم لضمان أرباحهم.

تتجلى وظيفة المنتسب في الحصول على الوصول الأولي، ثم التوسع أفقياً في شبكة الشركة حتى وصوله المتحكم الرئيسي للمجال (Domain Controller)، لتسريب البيانات الحساسة إلى السحابات الخارجية، ثم سحب الزناد وتشغيل التشفير. عندما تدفع الشركة الضحية الفدية (مثلاً مليون دولار)، يحتفظ "المنتسب" بنسبة تصل لـ 80%، وتذهب الـ 20% أوتوماتيكياً لفريق المهندسين المطورين!

3. وسطاء الوصول الأولي (IABs)

في أحيان كثيرة، لا يمتلك المنتسب المهاجم مهارة اختراق الجدار الناري الخارجي للشركة أو الحصول على أول ثغرة! هنا يأتي دور وسطاء الوصول. هم قراصنة يتخصصون فقط باختراق أجهزة VPN الخاصة بالموظفين المساكين حول العالم عن طريق التصيد أو استغلال ثغرات اليوم الصفر (Zero-Days).

يبيع الوسيط "وصول بمسؤولية مدير لشركة لوجستية فرنسية بإيرادات 50 مليوناً" مقابل 3000 دولار فقط في منتدى روسي. يشتريه مهاجم RaaS لينفذ جريمته ببساطة ويسحق الشركة!.

كيف تدمر الـ RaaS أجهزة الحماية (EDR)؟

تصمم أدوات RaaS الحديثة ليتم تشغيلها وتوجيهها من قبل إنسان خلف شاشة، وليست فيروساً غبياً يكرر نفسه عشوائياً. عندما يصبح القراصنة داخل الأنظمة كـ "مدير مسموح له"، يستخدمون أدوات الإدارة الطبيعية لويندوز لنشر الفيروس، مما يجعل اكتشافهم شبه مستحيل (تقنية العيش على موارد النظام).

تعطيل الحماية باستخدام "BYOVD"

قبل بدء التشفير، يجب على المنتسب قتل وكلاء الحماية المحلية (EDR/Antivirus مثل CrowdStrike). ولأن هذه البرامج محمية ولا يمكن محوها، يقوم المهاجم بإنزال ملف تعريف وقيادة للأجهزة شرعي ولكنه قديم ومليئ بالثغرات (مثل gdrv.sys). ثم يستغل الهاكر هذا الملف لتطبيق هجمة تصعيد نحو نواة النظام الحساسة (Kernel) في الويندوز و إيقاف وإطفاء برامج الحماية من الجذور، تاركاً الخادم أعزل تماماً.

# نموذج يوضح كيف يقوم الهاكر بإطفاء كافة خدمات الشركة والأمان بضغطة واحدة باستخدام باورشل
Get-Service | Where-Object {$_.DisplayName -match "Defend|Crowd|FireEye|Sophos|Veeam|Backup|SQL"} | Stop-Service -Force -WarningAction SilentlyContinue

# ثم يقوم بحذف وضياع كافة "تخزينات النظام الاحتياطية الآلية في الويندوز" كي لا يستعيد الضحية ملفاته أبداً!
vssadmin.exe Delete Shadows /All /Quiet

الابتزاز المزدوج: التهديد الذي غير القواعد

قديماً وإذا تعرضت لفدية، وكان لديك نظام نسخ احتياطي قوي، كنت تستعيد بياناتك في يوم وتتجاهل القراصنة.

التفادياً لذلك؛ تقضي جماعات RaaS اليوم أسابيع بأكملها مختبئة كالأشباح داخل شبكة الشركة، وتقوم بتسريب أطنان و تيرابيتات من أكثر البيانات سرية للشركة (سجلات الموارد البشرية، الأسرار المالية والطبية) قبل تفعيل تشفير الخوادم! الآن الفدية ليس هدفها الأساسي (استعادة جهازك)، بل هي ابتزاز وتهديد لفضح سجلات واسرار المؤسسة وعملائها في الدارك ويب وتدمير أسهم وإيرادات الشركة للابد!.

الاستنتاج

لقد أدت أتمتة RaaS إلى إنزال مستوى الخبرة المطلوب لتدمير الكيانات. لم يعد السؤال هو "هل" سيحاول أحدهم اختراق شبكتك، بل "متى".

هل مؤسستك وبنيتك التحتية جاهزة للصمود؟

لا تنتظر حتى تعاين ملفات عملائك تُعرض للبيع في السوق المظلمة. تعاقد مع خبراء Cayvora Security لإجراء عمليات محاكاة للهجوم (Threat Hunting) وكشف المتسللين قبل أن يطلقوا رصاصة التشفير.

📱 احجز مسحاً شاملاً ضد عصابات الفدية عبر تطبيق واتساب

Besoin d'un audit de sécurité ?

Contactez Cayvora pour une consultation gratuite et protégez votre entreprise contre les cybermenaces.

📱 Contacter via WhatsApp

Articles connexes