رسم باحثو الأمن السيبراني تطور شركة INC من عملية ناشئة لبرامج الفدية كخدمة (RaaS) إلى واحدة من أكثر مجموعات الجرائم الإلكترونية انتشارًا في عام 2026، حيث أودت بحياة ما لا يقل عن 830 ضحية منذ أغسطس 2023.
وقال داريل فيرتوسيو، الباحث في Acronis: “لقد أدى تعطيل LockBit وإغلاق BlackCat إلى خلق فرص لشركة INC للتوسع مع انتقال الشركات التابعة إلى عمليات برامج الفدية البديلة”. “تمثل المنظمات الأمريكية أكثر من 65% من الضحايا المدرجين في القائمة، وتعد الخدمات القانونية والتصنيع والبناء والتكنولوجيا والرعاية الصحية من بين القطاعات الأكثر استهدافًا”.
تمت أيضًا إعادة كتابة تشفيرات Windows وLinux/ESXi الخاصة بشركة INC في Rust لتسهيل التطوير عبر الأنظمة الأساسية ومقاومة جهود الهندسة العكسية بشكل أفضل. تتميز الهجمات التي تنشر برامج الفدية باستخدام أداة تفريغ بيانات اعتماد محدثة قادرة على استهداف عمليات نشر النسخ الاحتياطي الأحدث من Veeam التي تستخدم تشفير بيانات اعتماد DPAPI المملح.
علاوة على ذلك، أدى بيع متغيرات Windows وLinux الخاصة بشركة INC في مجال الجرائم الإلكترونية تحت الأرض في مايو 2024 إلى ظهور عائلات برامج الفدية ذات الصلة مثل Lynx وSinobi مع “تداخل كبير في التعليمات البرمجية”، حتى مع استمرار العلامة التجارية في التطور.
وقال أكرونيس: “تستخدم الشركات التابعة لبرامج الفدية INC مجموعة متنوعة من الأدوات والتقنيات في استهداف الضحايا”. “في حملاتهم الأخيرة، يواصلون استهداف الأجهزة الطرفية غير المصححة للوصول الأولي، وتفريغ بيانات الاعتماد من خوادم Veeam الاحتياطية، واستخدام مزيج من LOLBins وأدوات RMM التجارية للتنقل عبر شبكات الضحايا.”
سلسلة الهجوم الشاملة التي اعتمدها طاقم الابتزاز المزدوج هي كما يلي –
- احصل على وصول أولي عبر مجموعة واسعة من الأساليب، بما في ذلك التصيد الاحتيالي وبيانات اعتماد الحساب المشتراة من IABs واستغلال الثغرات الأمنية في التطبيقات العامة مثل Citrix Netscaler (CVE-2023-3519 وCVE-2025-5777) وFortinet EMS (CVE-2023-48788) وSimpleHelp (CVE-2024-57727).
- استخراج بيانات الاعتماد الحساسة من البيئة المخترقة.
- استخدم ثنائيات العيش خارج الأرض (LOLBins)، مثل بروتوكول سطح المكتب البعيد (RDP) وPsExec، للحركة الجانبية.
- استخدم تقنية إحضار محرك الأقراص الضعيف (BYOVD) الخاص بك باستخدام filwfp.sys وfilnk.sys وfildds.sys لإضعاف دفاعات النظام.
- قم بإسقاط Cobalt Strike وAnyDesk وScreenConnect وTeamViewer للتحكم والتحكم.
- قم بتصفية البيانات ذات الأهمية باستخدام Rclone بعد تنظيمها كمحفوظات محمية بكلمة مرور.
- قم بتشغيل برنامج التشفير وتسريع العملية باستخدام تقنيات مثل تعدد مؤشرات الترابط والتشفير الجزئي. تتميز الحمولة بواجهة سطر أوامر تمنح المشغل مزيدًا من التحكم أثناء عمليات النشر العملي. عند تنفيذه باستخدام الوسيطة “–esxi”، فإنه يحاول إيقاف تشغيل الأجهزة الافتراضية.
تظهر النتائج أن مجموعات برامج الفدية يمكنها تحقيق النجاح والتوسع من خلال اتباع تقنيات معروفة على نطاق واسع دون الحاجة إلى الاعتماد على أدوات تجارية متقدمة أو أدوات مخصصة، مما ينتج عنه بشكل فعال تدفق مستمر من الضحايا عبر مناطق جغرافية وقطاعات مختلفة. تُظهر البيانات التي جمعتها ZeroFox أن برامج الفدية INC برزت باعتبارها رابع أبرز مجموعة من برامج الفدية في الربع الأول من عام 2026 بعد Qilin (338)، وAkira (197)، وThe Gentlemen (192)، وهو ما يمثل أكثر من 120 حادثًا خلال الفترة الزمنية.
وقال أكرونيس: “تواصل شركة INC تعزيز عمليات برامج الفدية الخاصة بها من خلال إعادة كتابة الحمولة المستندة إلى Rust والتحسين المستمر لمجموعة الأدوات، بينما تستهدف بعناية صناعات مثل الرعاية الصحية والخدمات القانونية والخدمات المهنية والتصنيع والبناء حيث يخلق التوقف التشغيلي ضغوطًا مالية قوية للدفع”.
“ويتفاقم هذا التهديد بشكل أكبر لأن هذه القطاعات تعتمد بشكل كبير على العمليات وسلاسل التوريد غير المنقطعة، مما يزيد من خطر التعرض للضمانات عبر شبكات البائعين والشركاء النهائيين عند حدوث انتهاكات.”
