استخبارات الخصم

داخل Gunra RaaS: من التوظيف بالعمولة على الويب المظلم إلى التشريح الفني الكامل لخزانتهم

تسلل باحثو CloudSek إلى برنامج RaaS التابع لشركة Gunra الذي تم إطلاقه حديثًا، وتمكنوا من الوصول إلى اللوحة الحية وخزانة برامج الفدية. يكشف تحليلنا عن محرك التشفير الهجين ChaCha20 + RSA-4096 المحسّن للغاية، والتنفيذ متعدد الخيوط، واستهداف الملفات الجراحية، وقدرات التخفي دون اتصال بالإنترنت.

February 11, 2026

دقيقة

جدول المحتوى

مثال H2

ملخص تنفيذي

في 15 يناير 2026، اكتشف باحثو CloudSek برنامج الانتساب الجديد المتعلق بـ Gunra. Gunra هي خدمة Ransomware-as-a-Service (RaaS) شوهدت نشطة لأول مرة في مايو 2025، ولكن تم إطلاق برنامج الانتساب حديثًا على منتدى Dark Web في يناير 2026.

وبالاستفادة من عمليات الذكاء البشري الاستراتيجية (HUMINT)، نجح فريق البحث في اختراق البرنامج التابع لشركة Gunra. سمح ذلك للباحثين بالحصول على بيانات اعتماد لوحة RaaS وعينة برامج الفدية الحية للتشريح الفني الشامل.

Gunra هي عملية رانسوم وير متطورة تستهدف بشكل أساسي أنظمة Windows. إنه يتميز بلوحة إدارة تابعة كاملة الميزات ومعلمات هجوم قابلة للتكوين وإمكانيات تشفير متقدمة. تستخدم البرامج الضارة خوارزميات تشفير قوية وتشفير الملفات بشكل انتقائي، وتستخدم استثناءات المسار الذكي لزيادة الضرر مع ضمان استمرار تشغيل النظام لعملية دفع الفدية.

مجموعة Gunra: عملية احترافية لبرامج الفدية كخدمة (RaaS)

تدير مجموعة Gunra نموذج أعمال متطور لبرامج الفدية كخدمة (RaaS)، باستخدام برنامج تابع واسع النطاق. تم تصميم عملياتهم لجذب مجرمي الإنترنت ذوي الدوافع المالية الذين يبحثون عن أدوات برامج الفدية الجاهزة.

التفاصيل التشغيلية الرئيسية:

المشغل: مجموعة غونرا
نموذج الأعمال: RaaS مع برنامج تابع شامل
الجمهور المستهدف: مجرمو الإنترنت يبحثون عن حلول برامج الفدية التي يمكن الوصول إليها

تعمل المجموعة بشكل كبير على تقليل حاجز الدخول للجهات الفاعلة الأقل تعقيدًا من خلال تقديم دعم شامل للشركات التابعة. يتضمن هذا الدعم وثائق مفصلة ولوحة إدارة سهلة الاستخدام ومنشئي برامج الفدية القابلة للتخصيص، مما يسهل تنفيذ هجمات برامج الفدية.

‍نظرة عامة على الموقع الجغرافي والنشاط

لتقدير نطاق عمليات Gunra Group بشكل كامل، من الضروري تحليل كل من انتشارها العالمي واتجاهات نشاطها الحديثة.

التوزيع العالمي للضحايا

توضح الخريطة التالية التوزيع العالمي للضحايا المستهدفين من قبل الشركات التابعة لمجموعة Gunra Group. تسلط هذه الصورة المرئية الضوء على مناطق التركيز الأساسية والتأثير الدولي الواسع لعملية RaaS.

‍

‍

الجدول الزمني للنشاط التشغيلي (مايو 2025 - يناير 2026)

يقدم الرسم البياني أدناه لمحة سريعة عن الإيقاع التشغيلي لمجموعة Gunra Group على مدار الأشهر التسعة الماضية. يعد تحليل وتيرة ونوع أنشطتهم - بما في ذلك توظيف الشركات التابعة الجديدة وعمليات نشر برامج الفدية الناجحة وتكرار الاتصال على الويب المظلم - أمرًا ضروريًا لفهم مسار النمو الحالي وفترات ذروة النشاط.

‍

الاكتشاف الأولي ومشاركة ممثل التهديد

بدأ تحليلنا بإعلان على منتدى Ramp على الويب المظلم، حيث حدد باحثو CloudSek برامج الفدية كخدمة (RaaS) برنامج الانتساب. سلط المنشور الضوء على الميزات الرئيسية للعرض:

دعم متعدد المنصات: تستهدف برامج الفدية بيئات Windows و Linux و ESXi و NAS عبر بنى متعددة، بما في ذلك x86 و ARM.
تشفير عالي السرعة: يستخدم مزيجًا من تشاتشا 20 و RSA-4096 خوارزميات التشفير. يسلط الإعلان الضوء على خيارات «تخطي الخطوات» لزيادة سرعة التشفير.
جاهز للاستخدام: يمكن للشركات التابعة إنشاء «خزانة» (ملف التشفير القابل للتنفيذ) فورًا من لوحة الإدارة المتوفرة.

*يوضح الإعلان الأولي على Ramp Forum ميزات برنامج RaaS.*

‍

عملية هيومنت

تم إطلاق عملية الذكاء البشري المستهدفة (HUMINT) لإشراك الفاعل المهدد من خلال معرف Tox المقدم. باستخدام الهندسة الاجتماعية الدقيقة لإثبات المصداقية داخل مجتمع المجرمين الإلكترونيين، حقق باحثونا ما يلي:

إنشاء الثقة: شارك بنجاح في مناقشات مفصلة بشأن المتطلبات الأساسية للبرنامج التابع.
الحصول على الوثائق: حصل على دليل PDF يحدد الهيكل الكامل لبرنامج الشراكة.
تم الحصول على الوصول: تم الحصول على أوراق اعتماد شرعية إلى لوحة إدارة RaaS.

*اتصالات آمنة مع ممثل التهديد، مما يؤدي إلى الحصول على بيانات اعتماد لوحة إدارة RaaS ورابط onion*

‍

*دليل PDF للمشغل المرسل من TA للاستخدام والمساعدة*

‍

فهم التهديد

يستخدم هذا النوع من برامج الفدية الاحترافية نظام تشفير هجين متطور مصمم لتحقيق أقصى قدر من التأثير. عند التنفيذ، تقوم البرامج الضارة بتشفير الملفات بكفاءة عبر جميع محركات الأقراص التي يمكن الوصول إليها عن طريق تهيئة سلاسل العمليات الخاصة بها وتحديد الملفات المستهدفة بناءً على قوائم الاستبعاد الداخلية.

تعتمد عملية التشفير على بنية قوية:

تشفير سريع للملفات: يتم استخدام تشفير تيار ChaCha20 لتشفير بيانات الملف بسرعة.
الجيل الفريد للمفاتيح: بالنسبة لكل ملف، تقوم البرامج الضارة بإنشاء مفتاح ChaCha20 فريد وعشوائي بحجم 32 بايت و 12 بايت nonce.
حماية المفاتيح: يتم بعد ذلك حماية المواد الرئيسية لـ ChaCha20 باستخدام تشفير المفتاح العام RSA-4096.
تخزين المفاتيح: يتم إلحاق حزمة المفاتيح المشفرة هذه بالملف المشفر أو تخزينها في مخزن مفاتيح منفصل.

تجعل هذه المنهجية استرداد الملفات غير ممكن من الناحية المشفرة بدون مفتاح RSA الخاص المقابل للمهاجمين.

تم تصميم البرامج الضارة للتسلل والموثوقية، وتعمل بشكل كامل دون اتصال بالإنترنت أثناء مرحلة التشفير. جميع المكونات الضرورية - بما في ذلك المفتاح العام RSA-4096 وقوائم الاستبعاد للأدلة وامتدادات الملفات ومذكرة الفدية المكتوبة مسبقًا مع عنوان خدمة Tor المخفي - مضمنة في النظام الثنائي. يتجاوز هذا النهج غير المتصل أنظمة الكشف القائمة على الشبكة ويضمن الأداء الوظيفي حتى في البيئات المعزولة أو الآمنة للغاية.

تدفق التنفيذ عالي المستوى

تستمر عملية تنفيذ برامج الفدية، التي تستخدم نظام التشفير الهجين ChaCha20+RSA، من خلال أربع مراحل رئيسية بعد التنفيذ الثنائي الأولي

التحليل الفني - تدفق التنفيذ

المرحلة 1: تحميل الترسانة - التهيئة والإعداد

عند التنفيذ، يتم تحميل برنامج الفدية الثنائي بواسطة أداة تحميل Windows، ويتم نقل التحكم إلى وظيفة البداية (0x1400014b0). تعمل هذه الوظيفة أولاً على إنشاء بيئة وقت التشغيل قبل استدعاء روتين التكوين الرئيسي على 0x1400015F1، حيث تستعد البرامج الضارة للهجوم.

ال مرحلة التكوين يقوم بتحميل الملف المضمن والمنسق PEM المفتاح العام RSA-4096. هذا المفتاح أساسي لنموذج التشفير المختلط: في حين أن خوارزمية تشا تشا20 يقوم بتشفير ملفات الضحية، ويتم استخدام مفتاح RSA لحماية مفاتيح Chacha20 نفسها. وهذا يضمن أن المهاجمين الذين يمتلكون المفتاح الخاص المقابل هم وحدهم الذين يمكنهم فك تشفير البيانات.

أثناء التهيئة، تحدد البرامج الضارة أيضًا نطاقها التشغيلي:

يضع قائمة أهداف شاملة لجميع أحرف محرك الأقراص (من A إلى Z).
إنها تحدد قوائم الاستبعاد لمنع تشفير أدلة النظام الأساسية، وتحديدًا ملفات C:\\ Windows و C:\\ Program Files.
وهي تنفذ فلاتر ملحقات الملفات لتجنب تشفير ملفات النظام والملفات التنفيذية.

أخيرًا، تنتهي مرحلة الإعداد بتهيئة تجمع الخيوط المكون من عاملين وإعداد BcryptgenRandom الواجهة، وهي ضرورية لإنشاء المفاتيح والأزرار العشوائية الآمنة المشفرة المطلوبة لعملية التشفير.

‍

تقوم وظيفة التهيئة هذه بتحميل المفتاح العام RSA-4096 المضمن وتكوين المعلمات التشغيلية بما في ذلك رسالة ملاحظة الفدية والأدلة المستبعدة وفلاتر امتداد الملفات قبل بدء تشغيل سلاسل التشفير.

المرحلة 2: رسم خرائط الإقليم - استطلاع نظام الملفات

بمجرد التهيئة، يبدأ برنامج الفدية في عملية البحث عن الملفات باستخدام وظيفة # #0x140002369 ##، وهي أداة تتبع الدليل المتكررة. تقوم هذه الوظيفة بفحص مخزن الضحية بشكل منهجي، بدءًا من محرك الأقراص A ثم الانتقال إلى Z، في محاولة للوصول إلى كل محرك أقراص واجتياز شجرة الدليل الخاصة به.

تستخدم البرامج الضارة منطق التصفية أثناء اكتشاف الملفات والمجلدات. وهو يتخطى أدلة النظام، مثل ## (C:\\ Windows، C:\\ ملفات البرامج، C:\\ ملفات البرنامج (x86)) ##، لتجنب إضاعة الوقت في الملفات غير الهامة التي لن تجبر الضحية على الدفع. بالنسبة للملفات التي تتجاوز استبعاد الدليل هذا، تقوم البرامج الضارة بفحص ملحقاتها مقابل قائمة استبعاد ثانية تحتوي على أنواع حرجة للنظام مثل (##.exe و.dll و.sys##). تتم الموافقة على الملفات ذات امتدادات بيانات المستخدم (مثل المستندات وقواعد البيانات والصور والمحفوظات) وإضافتها إلى قائمة انتظار عمل مركزية لمعالجة سلاسل التشفير.

تقوم هذه الوظيفة المتكررة بتعداد جميع الملفات والأدلة على محركات الأقراص المستهدفة باستخدام واجهات برمجة تطبيقات FindFirstFileW/FindNextFileW أثناء تصفية أدلة النظام والتحقق من امتدادات الملفات قبل وضعها في قائمة الانتظار للتشفير.

‍

‍

المرحلة 3: نواة التشفير - محرك التشفير الهجين

للتأكد من عدم وجود ملفين متماثلين (ولجعل الاسترداد كابوسًا تامًا)، يقوم برنامج الفدية بإعداد عناصر تشفير جديدة لكل ملف باستخدام واجهات برمجة تطبيقات Windows bCrypt القياسية. على وجه التحديد، مكالمات # #sub\\ _140005320## BcryptgenRandom (# #0x1400070F0 ##) لإنشاء مفتاح ChaCha20 فريد 32 بايت (256 بت) ومفتاح ChaCha20 12 بايت (96 بت) مرة واحدة لكل ملف.

يتم الخلط الفعلي للملفات عن طريق الوظيفة # #0x140003765 ##، والتي تستخدم تشفير تدفق ChaCha20. لقد أكدنا ذلك لأننا اكتشفنا ثوابت ChaCha20 السحرية الكلاسيكية، وهي «توسيع 32 بايت k»، في العنوانين #0x140003776 و 0x140003794 ##. من أجل السرعة، تقوم بمعالجة الملفات في أجزاء بحجم 1 ميجابايت. يحدث الرفع الثقيل لخلط ChaCha20 في الدالة الربعية # #0x140003710 ##، والتي تتضمن حركات التدوير لليسار (ROL) المميزة عند تعداد البتات 16 و12 و8 و7. يتم تشغيله لمدة 20 جولة، تمامًا كما تستدعي مواصفات ChaCha20 (10 تكرارات حلقية مع زوجين مستديرين)، وينتهي بـ XOR النهائي لتحويل النص العادي إلى نص مشفر باستخدام تيار المفاتيح.

بعد قيام Chacha20 بعمله على بيانات الملف، يقوم برنامج الفدية بحماية المفاتيح نفسها باستخدام تشفير RSA-4096، الذي تتم إدارته بواسطة الوظيفة # #0x140004936 ##. تقوم هذه الوظيفة بتشفير حزمة مفاتيح (حوالي 256 بايت) تحتوي على مفتاح Chacha20 32 بايت، و 12 بايت nonce، بالإضافة إلى بعض المعلومات الإضافية، وكل ذلك باستخدام مفتاح RSA العام المضمن. يتم تثبيت النص المشفر RSA الناتج، والذي يبلغ حوالي 512 بايت، إما في نهاية الملف المشفر أو تخزينه في ملف .keystore منفصل يسمى بتجزئة SHA-256 لاسم الملف الأصلي.

‍

بمجرد تشفير الملفات، تتم إعادة تسميتها بالامتداد .ENCRT لمنع معالجتها مرة أخرى. يتم بعد ذلك وضع مذكرة الفدية، المسماة R3ADM3.txt، في كل دليل يحتوي على الملفات المشفرة حديثًا.

‍

تقوم هذه الوظيفة بتنفيذ تشفير تيار ChaCha20 مع ثوابت «expand 32 بايت k» المميزة، والبنية المكونة من 20 جولة، وعمليات الخلط الربعية، وتشفير بيانات الملف قبل حماية المفاتيح باستخدام RSA-4096.

المرحلة 4: الرسالة - تسليم مذكرة الفدية وإنهائها

تتضمن المرحلة النهائية من برنامج الفدية التنظيف بعد التشفير. بعد أن تنتهي سلاسل المحادثات العاملة من مهام التشفير الخاصة بها، يضمن رمز إدارة مؤشر الترابط اكتمال جميع العمليات، مما يمنع التنفيذ غير المكتمل، الأمر الذي قد يضر بمنظور المهاجم.

مذكرة الفدية، الموجودة على العنوان # #0x140012020 ##، بمثابة مجموعة التعليمات للضحية. يوجههم للوصول إلى بوابة الدفع عبر شبكة Tor باستخدام عنوان URL الخاص بـ Onion ومعرف العميل وكلمة المرور المقدمة في الملاحظة.

Component	Detail
Payment Portal URL	hxxp://nsnhzysbntsqdwpys6mhml33muccsvterxewh5rkbmcab7bg2ttevjqd[.]onion

عند الانتهاء من تشفير الملفات ونشر مذكرة الفدية، تقوم البرامج الضارة بعملية تنظيف نهائية: إيقاف تشغيل مجموعة مؤشرات الترابط، وإلغاء الذاكرة الحساسة (بما في ذلك مفاتيح التشفير)، والخروج بشكل نظيف.

يقوم برنامج الفدية بإسقاط ملف ملاحظة (R3ADM3.txt) يحتوي على تعليمات الدفع، ويوجه الضحايا إلى خدمة Tor المخفية بأوراق اعتماد مشفرة للاتصال بالمهاجمين.

الآثار السلوكية الرئيسية

اختيار الملف الجراحي - منطق الاستهداف

تستخدم البرامج الضارة خوارزمية اختيار الملفات المعقدة، التي يتم تنفيذها في الوظيفة 0x140001903. تعطي هذه الآلية الأولوية للبيانات عالية القيمة مع ضمان بقاء نظام تشغيل الضحية يعمل.

استراتيجية الاستبعاد: تقوم الخوارزمية أولاً باستخراج امتداد الملف باستخدام strrchr لتحديد النقطة الأخيرة. ثم يقوم بإجراء مقارنة غير حساسة لحالة الأحرف بقائمة الاستبعاد (الموجودة في 0x140012780). تحتوي هذه القائمة على وجه التحديد على أربعة عشر امتدادًا للملفات الحرجة للنظام:

[# #Exe, Dell, Sys, Com, Pif, بات, MSI, Scr, درايف, Xxd, MIUI, كول, فون, ميني ##]

يتم تخطي الملفات المطابقة لأي من هذه الامتدادات على الفور للحفاظ على قابلية تشغيل النظام.

استراتيجية الاستهداف:

يتم استهداف جميع أنواع الملفات الأخرى للتشفير. يتضمن ذلك بيانات المستخدم القيمة مثل:

المستندات
قواعد البيانات
صور
مقاطع فيديو
شفرة المصدر
أرشيف

علاوة على ذلك، تتجنب البرامج الضارة تشفير مذكرة الفدية الخاصة بها (# #R3ADM3 .txt##) وأي ملفات تم وضع علامة عليها بالفعل بالامتداد ##.ENCRT##، مما يمنع إعادة التشفير الزائدة عن الحاجة. يعمل هذا النهج المستهدف على زيادة التأثير على بيانات الضحية، مما يضمن في الوقت نفسه إمكانية الوصول إلى مذكرة الفدية والمضي قدمًا في الدفع.

تقوم هذه الوظيفة بتصفية الملفات المستهدفة بالامتداد، باستثناء الأنواع الحرجة للنظام (exe، dll، sys، إلخ) للحفاظ على قابلية تشغيل النظام أثناء تشفير جميع ملفات بيانات المستخدم.

السرعة من خلال التوازي - بنية متعددة الخيوط

يقوم برنامج الفدية بتنفيذ بنية تجمع مؤشرات الترابط مع سلاسل العمليات العاملة التي تعالج الملفات بالتوازي. تقوم الوظيفة # #0x140005500 ## بإدارة تجمع مؤشرات الترابط، وتنفيذ نمط المنتج والمستهلك حيث تضيف إجراءات تعداد الملفات مسارات إلى قائمة انتظار مشتركة وتقوم سلاسل العمليات العاملة بسحب المهام للمعالجة. يستخدم التكوين الافتراضي سلسلتي عمل، على الرغم من أن هذا يبدو قابلاً للتكوين.

تتيح هذه المعالجة المتوازية لبرنامج الفدية تشفير ملفات متعددة في وقت واحد، مع تداخل حسابات التشفير مع عمليات الإدخال/الإخراج على القرص. بينما يقوم مؤشر ترابط واحد بعمليات تشفير ChaCha20 على ملف كبير، يمكن أن يقوم مؤشر ترابط آخر بقراءة ملف مختلف أو كتابة بيانات مشفرة. إلى جانب الأداء الاستثنائي لـ Chacha20، تمكن هذه البنية البرامج الضارة من تشفير أنظمة الملفات بأكملها في دقائق بدلاً من ساعات.

‍

تجزئة SHA-256 لإدارة مخزن المفاتيح

يستخدم برنامج الفدية نظام تخزين مفاتيح متطور ثنائي الوضع يعتمد على مكون تشفير SHA-256 مدمج. يُستخدم هذا المكون، الذي يعمل تحديدًا من 0x14000513a إلى 0x1400052c0، حصريًا لإنشاء أسماء ملفات فريدة لحزم المفاتيح.

في وضع تشغيل مخزن المفاتيح المنفصل، تحتاج البرامج الضارة إلى طريقة موثوقة لربط الملفات المشفرة بملفات تخزين المفاتيح المقابلة لها. بدلاً من استخدام اسم الملف الأصلي الذي يحتمل أن يكون إشكاليًا (بسبب الأحرف الخاصة أو قيود الطول)، يقوم برنامج الفدية بحساب تجزئة SHA-256 لاسم الملف الأصلي. ثم يتم تحويل هذه التجزئة إلى سلسلة سداسية عشرية مكونة من 64 حرفًا، والتي تشكل اسم ملف مخزن المفاتيح القياسي: {sha256_hash} .keystore.

يلتزم تنفيذ SHA-256 بشكل صارم بالمواصفات القياسية. تتضمن العملية الوظيفة 0x14000513A لتهيئة سياق التجزئة بالقيم القياسية (على سبيل المثال، H0=0x6A09E667)، 0x140005182 لمعالجة البيانات في كتل 64 بايت، و 0x1400051d9 لخطوات الإنهاء والحشو. تتم معالجة التحويل الأساسي من خلال وظيفة الضغط المكونة من 64 جولة 0x140004F40، والتي تستخدم ثوابت K القياسية وعمليات سيجما. أخيرًا، تقوم الدالة 0x1400052c0 بتحويل مخرجات التجزئة الثنائية إلى تنسيق السلسلة السداسية العشرية الضرورية.

يوفر نهج التشفير هذا فوائد متعددة: طول اسم ملف ثابت بغض النظر عن الاسم الأصلي، وتجنب المشكلات المتعلقة بالأحرف الخاصة، وتفرد التشفير لمنع تضارب أسماء الملفات، وعملية إنشاء حتمية تمكن آلية فك التشفير من تحديد موقع ملف تخزين المفاتيح الصحيح بشكل موثوق من خلال إعادة حساب نفس التجزئة.

التحليل الديناميكي

بعد الانتهاء من التحليل الثابت الأولي، قام باحثو CloudSek بنقل العينة إلى بيئة VM معزولة ومحكومة للتحليل الديناميكي. سمحت هذه المرحلة للفريق بمراقبة «الخزانة» أثناء العمل - مراقبة سلوك وقت التشغيل وتفاعلات النظام وعمليات التشفير أثناء ظهورها في الوقت الفعلي.

نظرة عامة على سلوك وقت التشغيل

بعد التنفيذ مباشرة، أنتج برنامج الفدية سلاسل رسائل للعمال وبدأ في تعداد نظام الملفات بكميات كبيرة. تُظهر سجلات ProcMon وصولاً تسلسليًا سريعًا عبر أحرف محرك أقراص متعددة، مما يؤكد روتين مسح محرك الأقراص المتكرر الموضح في تدفق التنفيذ الثابت.

ملاحظات وقت التشغيل الرئيسية:

عمليات # #CreateFile ## و # #QueryDirectory ## المستمرة عبر أدلة المستخدم
عمليات قراءة/كتابة عالية التردد على أنواع ملفات المستندات والأرشيف
إعادة تسمية فورية للملفات المشفرة باستخدام. ملحق # #ENCRT ##
إنشاء ملاحظات الفدية (# #R3ADM3 .txt##) في الأدلة المتأثرة
لا توجد محاولات لتشفير أدلة النظام المستبعدة

يوضح السلوك الإنتاجية المحسّنة المتوافقة مع بنية المنتج والمستهلك متعددة الخيوط.

*لقطة شاشة ProcMon: انفجار تعداد الملفات*

نشاط تشفير الملفات

يؤكد التنفيذ الديناميكي تشغيل محرك التشفير المختلط لكل ملف. تُظهر لقطات ProcMon نمطًا متكررًا:

تم فتح الملف مع وصول للقراءة
قراءات مقطعية متسلسلة (كتل بحجم 1 ميجابايت تقريبًا)
إعادة الكتابة الفورية للمحتوى المعدل
عملية إعادة تسمية الملف إلى ##.ENCRT##

هذا النمط متسق عبر مئات الملفات في غضون ثوانٍ، مما يدل على ميزة أداء Chacha20 والتنفيذ المتوازي.

بالإضافة إلى ذلك، يتم إنشاء ملفات تخزين المفاتيح عندما تعمل برامج الفدية في وضع تخزين المفاتيح المنفصل. تظهر هذه الأرقام على النحو التالي: ## {تجزئة ذات 64 حرفًا} .keystore##

يتم إنشاء هذه الملفات في نفس الدليل مثل الملف المشفر المقابل لها.

نشر مذكرة الفدية

بعد اكتمال التشفير داخل الدليل، يقوم برنامج الفدية بكتابة مذكرة فدية باسم R3ADM3.txt. يلتقط ProcMon نمطًا حتميًا:

اكتمل اجتياز الدليل
تم إنشاء ملف نصي جديد
تؤدي عملية الكتابة إلى إدخال رسالة فدية ثابتة
تم إغلاق مقبض الملف على الفور

سلوك الشبكة

لم تتم ملاحظة أي طلبات DNS أو حركة مرور HTTP أو أحداث إنشاء مأخذ التوصيل أثناء التنفيذ. يقوم برنامج الفدية بالتشفير الكامل دون الحاجة إلى اتصال الأوامر والتحكم، مما يعزز مرونته ضد دفاعات عزل الشبكة.

يعتمد تفاعل بوابة Tor على الضحية ولا يحدث إلا بعد التشفير، من خلال التعليمات الواردة في مذكرة الفدية.

التأثير

عدم إمكانية الوصول الشديد إلى البيانات: يتم تشفير الملفات باستخدام تشفير ChaCha20 + RSA-4096 القوي، مما يجعل فك التشفير مستحيلًا بدون مفاتيح خاصة يتحكم فيها المهاجم.
وقت التعطل التشغيلي: قد تتعطل العمليات التجارية بسبب فقدان الوصول إلى المستندات الهامة وقواعد البيانات وموارد النظام.
التكاليف المالية والاسترداد: قد تواجه المؤسسات خسائر مالية من طلبات الفدية وجهود الاستجابة للحوادث واستعادة النظام وتعطل الأعمال.
الضرر الذي يلحق بالسمعة والثقة: يمكن أن تؤثر الحوادث الأمنية سلبًا على السمعة التنظيمية وثقة العملاء ومصداقية العلامة التجارية على المدى الطويل.
الجدول الزمني للاستعادة الممتدة: قد يستغرق الاسترداد الكامل وقتًا طويلاً، خاصة إذا كانت النسخ الاحتياطية الموثوقة دون اتصال بالإنترنت أو آليات الاسترداد غير متوفرة.

التوصيات

تنفيذ استراتيجية النسخ الاحتياطي القوية: احتفظ بنسخ احتياطية متكررة وغير قابلة للتغيير دون اتصال بالإنترنت، واختبر إجراءات الاستعادة بانتظام لضمان إمكانية استعادة البيانات.
تقييد تنفيذ الملفات غير المعروفة: قم بفرض قائمة السماح بالتطبيق ومنع التنفيذ من الأدلة القابلة للكتابة من قبل المستخدم لتقليل مخاطر تنفيذ البرامج الضارة.
تحسين مراقبة نقطة النهاية: راقب نشاط الملفات المريب مثل ملحقات.ENCRT وإنشاء مذكرة الفدية وتعديلات الملفات ذات الحجم الكبير.
تعزيز أمان البريد الإلكتروني والوصول: قم بتطبيق الحماية من التصيد الاحتيالي وفرض المصادقة متعددة العوامل (MFA) وتثقيف المستخدمين حول ممارسات التعامل الآمن مع الملفات.
إنشاء الاستعداد للاستجابة للحوادث: حافظ على خطة استجابة تم اختبارها لبرامج الفدية، وتأكد من إمكانات عزل النظام بسرعة، واحتفظ بالأدلة الجنائية أثناء الحوادث.

الملحق

مؤشرات التسوية (IOCs)

‍

IOC Category	Indicator	Value / Pattern
File Hash (Locker)	SHA-256	75e5621756e9d19efeac2bcbb2ac4711fb85243c03b0a19c05b18e31a780691e
	MD5	e57b130718373f6ba9b37f39ca1d7e3d
File Hash (Operator PDF Guide)	SHA-256	25c8cb27947042de89d634b3e260e614e5b1425a89494fa4e4295bcabfa8ee48
Ransom Note	Filename	R3ADM3.txt
Encrypted File Extension	Extension	.ENCRT
Keystore Naming	Pattern	{sha256_hash}.keystore
Tor Payment Portal	Onion URL	hxxp://nsnhzysbntsqdwpys6mhml33muccsvterxewh5rkbmcab7bg2ttevjqd[.]onion
Protected Directories	Excluded Paths	C:\Windows, C:\Program Files, C:\Program Files (x86)
Skipped File Types	Extensions	Exe, Dll, Sys, Com, Pif, Bat, Msi, Scr, Drv, Cxd, Mui, Cpl, Fon, Ini
Crypto Signature	String Constant	"expand 32-byte k"
API Behavior	Windows API	BCryptGenRandom

‍

رسم خرائط ميتري ATT&CK

‍

MITRE Tactic	Technique	ID	Key Observed Behavior
Execution	User Execution	T1204	The victim runs a ransomware binary
Discovery	File & Directory Discovery	T1083	Scans drives A–Z recursively
Defense Evasion	Exclude System Files	T1564	Skips Windows & system directories
Collection	Data from Local System	T1005	Targets user documents & files
Impact	Data Encrypted for Impact	T1486	Encrypts files using ChaCha20
Impact	Data Encrypted for Impact	T1486	RSA encrypts encryption keys
Impact	File Rename	T1036.003	Appends .ENCRT to files
Impact	Defacement / Message	T1491	Drops R3ADM3.txt
Command & Control	Dead Drop Resolver (Tor)	T1104	Victim connects via Tor portal
Impact	Financial Extortion	T1657	Ransom demand issued

مجموعات/عائلات برامج الفدية ذات TTPs المماثلة

يثبت النظام البيئي لبرامج الفدية أن عدد الجهات الفاعلة في مجال التهديد المتطورة التي تمتلك المهارة اللازمة لإنشاء خزانة من الصفر قليل، وبالتالي نرى بعض التشابه مع الخزانات النشطة الأخرى بسبب الإرث من شفرة مصدر conti المسربة:

بلاك باستا يستخدم تشاتشا 20 لتشفير الملفات + RSA-4096 لحماية المفاتيح، مع تشفير متعدد الخيوط ومتقطع للسرعة والتهرب. يقوم بتعداد جميع محركات الأقراص (المحلية/الشبكة) ويعالج الملفات/وحدات التخزين بشكل متكرر. يستهدف مستندات المستخدم وقواعد البيانات والبيانات الحساسة بالابتزاز المزدوج (التشفير+التسلل)، غالبًا عبر أدوات التصيد الاحتيالي أو QakBot أو Fin7 المرتبطة. روابط قوية من مشتقات كونتي.
ريسيدا يوظف تشاتشا 20 + RSA-4096 (أو Curve25519 في بعض المتغيرات لتبادل المفاتيح. يقوم بخرائط الشبكة/محركات الأقراص المحلية ويقوم بالتشفير بشكل متكرر عبر وحدات التخزين. يركز على ملفات المستخدم والمستندات والأهداف عالية القيمة (مثل الرعاية الصحية)، مع أساليب الابتزاز المزدوج. يشارك التداخلات السلوكية مع Vice Society (تغيير محتمل للعلامة التجارية).
أكيرا ينطبق تشاتشا 20 (أو المتغيرات) + RSA-4096 للتشفير المختلط، مع أوضاع جزئية/متقطعة في بعض الإصدارات. يقوم بإجراء اكتشاف محرك الأقراص وتعداده واجتياز الملفات بشكل متكرر.
كيلين (المعروف أيضًا باسم جدول الأعمال) يدعم تشاتشا 20 (احتياطي للأنظمة غير AES-NI) + RSA-4096/2048؛ تستخدم المتغيرات القائمة على الصدأ (Qilin.B) AES-256-CTR أو ChaCha20+ RSA-4096 OAEP. يقوم باكتشاف محركة/ملف، واجتياز متكرر، وانتشار الشبكة (على سبيل المثال، PsExec، SSH).
رويال (أعيدت تسميتها باسم BlackSuit) يستخدم تشاتشا 20 + RSA-4096 في متغيرات ويندوز/لينكس المعيارية. يقوم بتعداد محركات الأقراص من الألف إلى الياء (بما في ذلك المشاركات) ويقوم بالتشفير بشكل متكرر.
دونيس (المعروف أيضًا باسم دارك رايس/ميوز) يوظف تشاتشا 20 + RSA-4096 التشفير المختلط (نقاط الضعف البارزة في الجيل الرئيسي في بعض العينات). يقوم بمسح/تعداد محركات الأقراص بشكل متكرر، ويستهدف جميع وحدات التخزين التي يمكن الوصول إليها. يستثني مسارات النظام الهامة لمنع الأعطال والأوضاع غير المتصلة بالإنترنت. يستهدف ملفات/مستندات المستخدم بالتسلل والتهرب المتقدم (على سبيل المثال، تشويش واجهة برمجة التطبيقات).