Realistic illustration of a computer screen showing the VanHelsing ransomware attack targeting multiple operating systems, suitable for a cybersecurity news article.

برمجية الفدية VanHelsing RaaS تستهدف منصات متعددة

11 نوفمبر، 2025

من إعداد الذكاء الاصطناعي

صورة مولدة بواسطة الذكاء الاصطناعي

عملية جديدة لبرمجيات الفدية كخدمة تُدعى VanHelsing ظهرت في 7 مارس 2025، مدعية بسرعة على الأقل ثلاث ضحايا. تدعم هجمات على أنظمة Windows وLinux وBSD وARM وESXi، مع الشركاء التابعين يحتفظون بنسبة 80% من الفديات بعد إيداع 5000 دولار. يحظر المجموعة استهداف كيانات في رابطة الدول المستقلة.

يمثل VanHelsing تطورًا متطورًا في نشر برمجيات الفدية، تم ملاحظته لأول مرة في 7 مارس 2025. يعمل كمنصة برمجيات الفدية كخدمة (RaaS)، مما يخفض الحواجز أمام الشركاء التابعين من خلال طلب إيداع قدره 5000 دولار فقط للوصول إلى أدواته وبنيته التحتية. يحتفظ الشركاء التابعون بنسبة 80% من الفديات المجموعة، مما يعزز التوسع السريع والهجمات الواسعة النطاق.

تُميز التوافق الواسع للعملية، حيث تستهدف أنظمة Windows وLinux وBSD وهياكل ARM وبيئات الافتراضية ESXi. يوسع هذا الدعم المتعدد المنصات قاعدة الضحايا المحتملين بشكل كبير خارج التهديدات النموذجية المركزة على Windows. في غضون أسبوعين من إطلاقه، ادعى VanHelsing على الأقل ثلاثة اختراقات ناجحة، مع مفاوضات فدية تصل إلى 500000 دولار في حالة واحدة.

تقنيًا، برمجية الفدية هي ثنائي C++ مصمم للمرونة والصمود. ينشئ mutex باسم “Global\VanHelsing” لتجنب التنفيذات المتزامنة، قابل للتجاوز عبر المعامل –Force. يتم تعيين أولوية العملية عالية للتشفير الأسرع، قابلة للتعديل باستخدام –no-priority للاختباء. يستخدم التشفير مفاتيح عشوائية فريدة وnonces لكل ملف، آمنة باستخدام شيفرة التدفق ChaCha20 ومفتاح عام Curve25519 مدمج، مما يضمن أن الفك يتطلب المفتاح الخاص للمتشغلين.

للكفاءة، يتم تشفير الملفات الكبيرة —مثل تلك التي تزيد عن 1 جيجابايت أو أصول قواعد البيانات— بنسبة 30% فقط، معالجة في قطع بحجم 1 ميجابايت. يقسم وضع –Silent العمليات إلى مراحل: التشفير أولاً، ثم إعادة تسمية الملفات بامتداد .vanhelsing، مما يقلل من مخاطر الكشف من أدوات الأمان في نقاط النهاية.

يعزز الحركة الجانبية تهديده، مع فحص خوادم SMB، تعداد المشاركات (تجنب الحرجة مثل NETLOGON وsysvol)، واستخدام psexec.exe المضمن للتنفيذ عن بعد. يحذف نسخ الظل لأحجام Windows عبر استفسارات WMI لتعطيل الاسترداد. اثنتان من المتغيرات، المجمعة بفارق خمسة أيام، تشيران إلى تطوير مستمر بناءً على التغذية الراجعة والاستجابات الدفاعية.

تركز التخفيف على النسخ الاحتياطي غير المتصل، تقسيم الشبكة، ومراقبة السلوكيات مثل حذف نسخ الظل وتدفق SMB غير طبيعي.

ما يقوله الناس

تركز المناقشات على X على الظهور السريع لبرمجيات الفدية كخدمة VanHelsing في مارس 2025، استهدافها المتعدد المنصات لأنظمة Windows وLinux وBSD وARM وESXi، ادعاءات الضحايا المبكرين بما في ذلك مدينة في تكساس وشركات تقنية، وتسريب رئيسي لكود المصدر في مايو 2025 بعد نزاع داخلي، مما يثير مخاوف بشأن استقرار العملية والإمكانية لمتغيرات جديدة. الردود غالبًا محايدة ومعلوماتية من خبراء الأمن السيبراني وحسابات الأخبار، مع تنبيهات تؤكد الحاجة إلى تعزيز الدفاعات ضد تكتيكات الابتزاز المزدوج.

Yesterday, I ID'd a new variant of #VanHelsing #Ransomware that encrypts with .vanlocker!

MD5
3e063dc0de937df5841cb9c2ff3e4651
5c254d25751269892b6f02d6c6384aef

193.37.69.225
193.37.69.162https://t.co/tROBE7uw8I #OSINT #security #malware #darkweb #hack #infosec #netsec #TOR pic.twitter.com/QkzFF5SNUD
— RAKESH KRISHNAN (@RakeshKrish12) ٢٠ مارس ٢٠٢٥

VanHelsing Ransomware Source Code Leaked After Failed $10K Sale Attempt

In a dramatic turn of events, the VanHelsing ransomware-as-a-service (RaaS) operation, which emerged just two months ago, has been rocked by a major leak of its infrastructure. According to BleepingComputer,… pic.twitter.com/4GZNftANyg
— CTI Academy (@CTIAcademy) ٢١ مايو ٢٠٢٥

Cross-Platform #VanHelsing Ransomware Targets Windows, Linux and VMware ESXi

While #ransomware groups are increasingly developing #Linux variants, most attacks remain concentrated on #Windows environments—for now...https://t.co/slndxRX23x #cybersecurity #infosec #security… pic.twitter.com/CAXo0fKLEn
— HalcyonAI (@HalcyonAi) ٣١ مارس ٢٠٢٥

🚨 VanHelsing Ransomware hit 3 victims within weeks of launch. Cross-platform, $500K ransoms, and growing fast. Intel 471 is tracking it, read the full report: https://t.co/ejkEhQkrIt #vanhelsing #ransomware #emergingthreats #threathunting #cybersecurity pic.twitter.com/4vOr0pWgIl
— Intel 471 (@Intel471Inc) ٢ أبريل ٢٠٢٥

VanHelsing ransomware builder leaked online by old developer

The VanHelsing ransomware operation has leaked its own source code after an alleged former developer, 'th30c0der,' attempted to sell it on the RAMP cybercrime forum for $10,000. The leak includes the Windows encryptor… pic.twitter.com/vLlji7wWoU
— Ransom-DB (@Ransom_DB) ٢٠ مايو ٢٠٢٥

VanHelsing ransomware builder leaked on hacking forum pic.twitter.com/Y35PLfM8IG
— SabatAge (@sabatage) ٢١ مايو ٢٠٢٥

Vanhelsing Ransomware

- Locker Sample(hash): 86d812544f8e250f1b52a4372aaab87565928d364471d115d669a8cc7ec50e17
- extension: .vanhelsing
- ransomnote: README.txt pic.twitter.com/sIzaAAPb7S
— mrglwglwgl (@mrglwglwgl) ١٧ مارس ٢٠٢٥

🚨Alleged Sale of Vanhelsing Ransomware Source Code pic.twitter.com/CmyTbCnvM5
— Dark Web Informer (@DarkWebInformer) ٢٠ مايو ٢٠٢٥

New VanHelsing ransomware targets Windows, ARM, ESXi systems https://t.co/697XAo5P5T #Security
— The Cyber Security Hub™ (@TheCyberSecHub) ٢٤ مارس ٢٠٢٥

#VanHelsing #Ransomware group has allegedly compromised the systems of the City of Bellville, Texas (https://t.co/gQbYhg9d4W), the county seat of Austin County, providing local government services, public safety, infrastructure maintenance, and community development 🇺🇸.

It… pic.twitter.com/TGwarc9V6H
— VenariX (@_venarix_) ١٨ مارس ٢٠٢٥

إعلان جديد لـ RaaS للـ gentlemen في المنتديات السرية

29 أكتوبر، 2025 من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

الممثل المهدد zeta88 يروج لعملية ransomware-as-a-service جديدة تُدعى The Gentlemen's RaaS في منتديات الهكر، مستهدفًا أنظمة Windows وLinux وESXi. تقدم المنصة للشركاء 90 في المئة من مدفوعات الفدية وتتميز بأدوات تشفير عابرة للمنصات تم تطويرها بلغوي Go وC. يبرز هذا التطور التجارية المستمرة للرنسوموير المتطور المستهدف لبيئات المؤسسات.

يطلق CyberVolk برمجية الفدية VolkLocker المستهدفة لـ Linux و Windows

أعادت مجموعة الهاكتيفيست المؤيدة لروسيا CyberVolk الظهور بمنصة ransomware-as-a-service جديدة تُدعى VolkLocker، تدعم كلاً من أنظمة Linux و Windows. وثّقت للمرة الأولى في 2024 بواسطة SentinelOne، عادت المجموعة بعد فترة من الخمول الناجم عن حظر Telegram. رغم التلقائية المتقدمة عبر bots Telegram، يحتوي البرمجيات الضارة على عيوب تشفير كبيرة قد تسمح للضحايا باستعادة الملفات دون دفع.

برمجية الـ Qilin الفدائية تنشر ملفات تنفيذية لينكس ضد أنظمة ويندوز

27 أكتوبر، 2025 من إعداد الذكاء الاصطناعي

مجموعة الـ Qilin الفدائية، المعروفة أيضًا باسم Agenda، طورت هجومًا هجينًا باستخدام حمولات لينكس على مضيفي ويندوز للتهرب من الكشف. من خلال إساءة استخدام أدوات إدارة عن بعد شرعية واستغلال برامج تشغيل ضعيفة، يقوم المهاجمون بتعطيل الدفاعات واستهداف النسخ الاحتياطية. تبرز هذه التكتيك متعدد المنصات تطور التعقيد في برمجيات الفدية.

تكنولوجيا

مجموعة NightSpire الرنسوموير تدعي اختراق بيانات Hyatt

لينكس

يكتشف Check Point برمجية خبيثة VoidLink متقدمة لـ Linux في السحابة

لينكس

إطار برمجيات خبيثة VoidLink بمساعدة الذكاء الاصطناعي يستهدف خوادم لينكس السحابية

يستهدف UAT-7290 المرتبط بـ الصين شركات الاتصالات ببرمجيات خبيثة لينكس

أفادت شركة Cisco Talos بأن فاعل تهديد مرتبط بالصين يُعرف باسم UAT-7290 يتجسس على شركات الاتصالات منذ عام 2022. يستخدم المجموعة برمجيات خبيثة لينكس وثغرات في الأجهزة الحدية وبنية تحتية ORB للحفاظ على الوصول إلى الشبكات المستهدفة.

مجموعات مرتبطة بـChina ومجرمو الإنترنت يزيدون من استغلال ثغرات React2Shell

13 ديسمبر، 2025 من إعداد الذكاء الاصطناعي

بناءً على هجمات PeerBlight السابقة، يبلغ Google Threat Intelligence عن استغلال ثغرة React2Shell (CVE-2025-55182) من قبل مجموعات مرتبطة بـChina وجهات مدفوعة مالياً تنشر أبواب خلفية ومنقبي عملات مشفرة على أنظمة React وNext.js الضعيفة.

مهاجمون يسيطرون على تطبيقات Snap Store لـ Linux لسرقة عبارات الكريبتو

لقد اخترق مجرمو الإنترنت تطبيقات لينكس موثوقة في متجر Snap من خلال الاستيلاء على نطاقات منتهية الصلاحية، مما سمح لهم بتوزيع برمجيات خبيثة تسرق عبارات الاسترداد للعملات المشفرة. برز خبراء الأمان من SlowMist ومساهم أوبونتو ألان بوبر الهجوم، الذي يستهدف حسابات الناشرين المعروفين لتوزيع تحديثات خبيثة تتظاهر بأنها محافظ شهيرة. أزالت Canonical الـ snaps المتضررة، لكن الدعوات لتعزيز الإجراءات الأمنية مستمرة.

AI scales up cyber attacks in 2025

11 ديسمبر، 2025 من إعداد الذكاء الاصطناعي

In 2025, cyber threats in the Philippines stuck to traditional methods like phishing and ransomware, without new forms emerging. However, artificial intelligence amplified the volume and scale of these attacks, leading to an 'industrialization of cybercrime'. Reports from various cybersecurity firms highlight increases in speed, scale, and frequency of incidents.

30 يناير 2026 21:23

برمجية الفدية VanHelsing RaaS تستهدف منصات متعددة

ما يقوله الناس

مقالات ذات صلة

إعلان جديد لـ RaaS للـ gentlemen في المنتديات السرية

يطلق CyberVolk برمجية الفدية VolkLocker المستهدفة لـ Linux و Windows

برمجية الـ Qilin الفدائية تنشر ملفات تنفيذية لينكس ضد أنظمة ويندوز

مجموعة NightSpire الرنسوموير تدعي اختراق بيانات Hyatt

يكتشف Check Point برمجية خبيثة VoidLink متقدمة لـ Linux في السحابة

إطار برمجيات خبيثة VoidLink بمساعدة الذكاء الاصطناعي يستهدف خوادم لينكس السحابية

يستهدف UAT-7290 المرتبط بـ الصين شركات الاتصالات ببرمجيات خبيثة لينكس

مجموعات مرتبطة بـChina ومجرمو الإنترنت يزيدون من استغلال ثغرات React2Shell

مهاجمون يسيطرون على تطبيقات Snap Store لـ Linux لسرقة عبارات الكريبتو

AI scales up cyber attacks in 2025

الباحثون يكشفون إطار استغلال ShadowHS لنظام لينكس

شبكة بوتنت GoBruteforcer تستهدف خوادم لينكس عالميًا

محترفو الأمن السيبراني الأمريكيون يعترفون بالذنب في هجمات برمجيات الفدية بلاك كات

تستمر استغلالات React2Shell مع نشر أبواب خلفية لـLinux على نطاق واسع وسرقة بيانات اعتماد السحابة

تحديث: شرطة إسبانيا تفكك شبكة عابرة للحدود لـ'هجمات الرافعة' على العملات المشفرة

عيب مفتاح رئيسي بنص عادي يعيق VolkLocker الخاص بـ CyberVolk

لص لوكا المبني على روست يستهدف أنظمة لينكس وويندوز

مجرمو الجرائم الإلكترونية الروس يطلقون برمجيات فدية جديدة

استغلال ثغرة React2Shell لبرمجيات PeerBlight الضارة على لينكس

قراصنة روس يستخدمون آلات افتراضية لينكس لإخفاء البرمجيات الضارة على ويندوز

يستخدم هذا الموقع ملفات تعريف الارتباط