Realistic illustration of a computer screen showing the VanHelsing ransomware attack targeting multiple operating systems, suitable for a cybersecurity news article.
صورة مولدة بواسطة الذكاء الاصطناعي

برمجية الفدية VanHelsing RaaS تستهدف منصات متعددة

صورة مولدة بواسطة الذكاء الاصطناعي
العربية

عملية جديدة لبرمجيات الفدية كخدمة تُدعى VanHelsing ظهرت في 7 مارس 2025، مدعية بسرعة على الأقل ثلاث ضحايا. تدعم هجمات على أنظمة Windows وLinux وBSD وARM وESXi، مع الشركاء التابعين يحتفظون بنسبة 80% من الفديات بعد إيداع 5000 دولار. يحظر المجموعة استهداف كيانات في رابطة الدول المستقلة.

يمثل VanHelsing تطورًا متطورًا في نشر برمجيات الفدية، تم ملاحظته لأول مرة في 7 مارس 2025. يعمل كمنصة برمجيات الفدية كخدمة (RaaS)، مما يخفض الحواجز أمام الشركاء التابعين من خلال طلب إيداع قدره 5000 دولار فقط للوصول إلى أدواته وبنيته التحتية. يحتفظ الشركاء التابعون بنسبة 80% من الفديات المجموعة، مما يعزز التوسع السريع والهجمات الواسعة النطاق.

تُميز التوافق الواسع للعملية، حيث تستهدف أنظمة Windows وLinux وBSD وهياكل ARM وبيئات الافتراضية ESXi. يوسع هذا الدعم المتعدد المنصات قاعدة الضحايا المحتملين بشكل كبير خارج التهديدات النموذجية المركزة على Windows. في غضون أسبوعين من إطلاقه، ادعى VanHelsing على الأقل ثلاثة اختراقات ناجحة، مع مفاوضات فدية تصل إلى 500000 دولار في حالة واحدة.

تقنيًا، برمجية الفدية هي ثنائي C++ مصمم للمرونة والصمود. ينشئ mutex باسم “Global\VanHelsing” لتجنب التنفيذات المتزامنة، قابل للتجاوز عبر المعامل –Force. يتم تعيين أولوية العملية عالية للتشفير الأسرع، قابلة للتعديل باستخدام –no-priority للاختباء. يستخدم التشفير مفاتيح عشوائية فريدة وnonces لكل ملف، آمنة باستخدام شيفرة التدفق ChaCha20 ومفتاح عام Curve25519 مدمج، مما يضمن أن الفك يتطلب المفتاح الخاص للمتشغلين.

للكفاءة، يتم تشفير الملفات الكبيرة —مثل تلك التي تزيد عن 1 جيجابايت أو أصول قواعد البيانات— بنسبة 30% فقط، معالجة في قطع بحجم 1 ميجابايت. يقسم وضع –Silent العمليات إلى مراحل: التشفير أولاً، ثم إعادة تسمية الملفات بامتداد .vanhelsing، مما يقلل من مخاطر الكشف من أدوات الأمان في نقاط النهاية.

يعزز الحركة الجانبية تهديده، مع فحص خوادم SMB، تعداد المشاركات (تجنب الحرجة مثل NETLOGON وsysvol)، واستخدام psexec.exe المضمن للتنفيذ عن بعد. يحذف نسخ الظل لأحجام Windows عبر استفسارات WMI لتعطيل الاسترداد. اثنتان من المتغيرات، المجمعة بفارق خمسة أيام، تشيران إلى تطوير مستمر بناءً على التغذية الراجعة والاستجابات الدفاعية.

تركز التخفيف على النسخ الاحتياطي غير المتصل، تقسيم الشبكة، ومراقبة السلوكيات مثل حذف نسخ الظل وتدفق SMB غير طبيعي.

ما يقوله الناس

تركز المناقشات على X على الظهور السريع لبرمجيات الفدية كخدمة VanHelsing في مارس 2025، استهدافها المتعدد المنصات لأنظمة Windows وLinux وBSD وARM وESXi، ادعاءات الضحايا المبكرين بما في ذلك مدينة في تكساس وشركات تقنية، وتسريب رئيسي لكود المصدر في مايو 2025 بعد نزاع داخلي، مما يثير مخاوف بشأن استقرار العملية والإمكانية لمتغيرات جديدة. الردود غالبًا محايدة ومعلوماتية من خبراء الأمن السيبراني وحسابات الأخبار، مع تنبيهات تؤكد الحاجة إلى تعزيز الدفاعات ضد تكتيكات الابتزاز المزدوج.

مقالات ذات صلة

Dramatic illustration of Stryker's operations center disrupted by Iran-linked cyberattack, with error-filled screens and intact medical devices.
صورة مولدة بواسطة الذكاء الاصطناعي

Iran-linked hackers disrupt Stryker's network in apparent retaliation

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

A cyberattack attributed to the Iran-aligned Handala Hack group has disrupted the Microsoft environment of medical device maker Stryker, paralyzing much of its global operations. The incident, which emerged shortly after US and Israeli airstrikes on Iran, involved data wiping across tens of thousands of computers. Stryker confirmed the attack is contained, with no impact on its critical medical devices.

New SysUpdate malware variant targets Linux systems

A new variant of the SysUpdate malware has been discovered targeting Linux systems, featuring advanced encryption for command-and-control communications. Security researchers at LevelBlue identified the threat during a digital forensics engagement and developed a tool to decrypt its traffic. The malware disguises itself as a legitimate system service to evade detection.

Researchers uncover new SysUpdate malware variant targeting Linux

من إعداد الذكاء الاصطناعي

Researchers at LevelBlue have identified a new variant of the SysUpdate malware aimed at Linux systems during a digital forensics and incident response engagement. The malware disguises itself as a legitimate system service and employs advanced encryption for command-and-control communications. By reverse-engineering it, the team created tools to decrypt its traffic more quickly.

أفريقيا

Standard Bank data dumped daily after cyberattack ransom refusal

ألعاب

FBI seeks victims of malware in Steam indie games

ألعاب

Duet Night Abyss launcher spreads malware on Steam

The hacker news publishes weekly threatsday bulletin

The Hacker News has released its latest ThreatsDay Bulletin, focusing on various cybersecurity issues. The bulletin covers topics such as Kali Linux combined with Claude, Chrome crash traps, WinRAR flaws, and activities related to LockBit. It also includes over 15 additional stories on emerging threats.

Malicious npm packages harvest crypto keys and secrets

من إعداد الذكاء الاصطناعي

Nineteen malicious packages on the npm registry are spreading a worm known as SANDWORM_MODE. These packages steal crypto keys, CI secrets, API tokens, and AI API keys. The theft occurs through MCP injection.

05 مايو 2026 12:10

Daemon Tools app hit by monthlong supply-chain attack

13 مارس 2026 18:03

Veeam patches three critical security flaws in backup servers

12 مارس 2026 22:40

US and Europe disrupt SocksEscort proxy network

09 مارس 2026 15:31

Researchers identify ClipXDaemon malware targeting Linux cryptocurrency users

19 فبراير 2026 09:18

Experts claim ransomware attacks increasingly target firewalls

17 فبراير 2026 10:18

OpenClaw AI agents targeted by infostealer malware for first time

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض