Realistic illustration of a computer screen showing the VanHelsing ransomware attack targeting multiple operating systems, suitable for a cybersecurity news article.

برمجية الفدية VanHelsing RaaS تستهدف منصات متعددة

11 نوفمبر، 2025

من إعداد الذكاء الاصطناعي

صورة مولدة بواسطة الذكاء الاصطناعي

عملية جديدة لبرمجيات الفدية كخدمة تُدعى VanHelsing ظهرت في 7 مارس 2025، مدعية بسرعة على الأقل ثلاث ضحايا. تدعم هجمات على أنظمة Windows وLinux وBSD وARM وESXi، مع الشركاء التابعين يحتفظون بنسبة 80% من الفديات بعد إيداع 5000 دولار. يحظر المجموعة استهداف كيانات في رابطة الدول المستقلة.

يمثل VanHelsing تطورًا متطورًا في نشر برمجيات الفدية، تم ملاحظته لأول مرة في 7 مارس 2025. يعمل كمنصة برمجيات الفدية كخدمة (RaaS)، مما يخفض الحواجز أمام الشركاء التابعين من خلال طلب إيداع قدره 5000 دولار فقط للوصول إلى أدواته وبنيته التحتية. يحتفظ الشركاء التابعون بنسبة 80% من الفديات المجموعة، مما يعزز التوسع السريع والهجمات الواسعة النطاق.

تُميز التوافق الواسع للعملية، حيث تستهدف أنظمة Windows وLinux وBSD وهياكل ARM وبيئات الافتراضية ESXi. يوسع هذا الدعم المتعدد المنصات قاعدة الضحايا المحتملين بشكل كبير خارج التهديدات النموذجية المركزة على Windows. في غضون أسبوعين من إطلاقه، ادعى VanHelsing على الأقل ثلاثة اختراقات ناجحة، مع مفاوضات فدية تصل إلى 500000 دولار في حالة واحدة.

تقنيًا، برمجية الفدية هي ثنائي C++ مصمم للمرونة والصمود. ينشئ mutex باسم “Global\VanHelsing” لتجنب التنفيذات المتزامنة، قابل للتجاوز عبر المعامل –Force. يتم تعيين أولوية العملية عالية للتشفير الأسرع، قابلة للتعديل باستخدام –no-priority للاختباء. يستخدم التشفير مفاتيح عشوائية فريدة وnonces لكل ملف، آمنة باستخدام شيفرة التدفق ChaCha20 ومفتاح عام Curve25519 مدمج، مما يضمن أن الفك يتطلب المفتاح الخاص للمتشغلين.

للكفاءة، يتم تشفير الملفات الكبيرة —مثل تلك التي تزيد عن 1 جيجابايت أو أصول قواعد البيانات— بنسبة 30% فقط، معالجة في قطع بحجم 1 ميجابايت. يقسم وضع –Silent العمليات إلى مراحل: التشفير أولاً، ثم إعادة تسمية الملفات بامتداد .vanhelsing، مما يقلل من مخاطر الكشف من أدوات الأمان في نقاط النهاية.

يعزز الحركة الجانبية تهديده، مع فحص خوادم SMB، تعداد المشاركات (تجنب الحرجة مثل NETLOGON وsysvol)، واستخدام psexec.exe المضمن للتنفيذ عن بعد. يحذف نسخ الظل لأحجام Windows عبر استفسارات WMI لتعطيل الاسترداد. اثنتان من المتغيرات، المجمعة بفارق خمسة أيام، تشيران إلى تطوير مستمر بناءً على التغذية الراجعة والاستجابات الدفاعية.

تركز التخفيف على النسخ الاحتياطي غير المتصل، تقسيم الشبكة، ومراقبة السلوكيات مثل حذف نسخ الظل وتدفق SMB غير طبيعي.

ما يقوله الناس

تركز المناقشات على X على الظهور السريع لبرمجيات الفدية كخدمة VanHelsing في مارس 2025، استهدافها المتعدد المنصات لأنظمة Windows وLinux وBSD وARM وESXi، ادعاءات الضحايا المبكرين بما في ذلك مدينة في تكساس وشركات تقنية، وتسريب رئيسي لكود المصدر في مايو 2025 بعد نزاع داخلي، مما يثير مخاوف بشأن استقرار العملية والإمكانية لمتغيرات جديدة. الردود غالبًا محايدة ومعلوماتية من خبراء الأمن السيبراني وحسابات الأخبار، مع تنبيهات تؤكد الحاجة إلى تعزيز الدفاعات ضد تكتيكات الابتزاز المزدوج.

Yesterday, I ID'd a new variant of #VanHelsing #Ransomware that encrypts with .vanlocker!

MD5
3e063dc0de937df5841cb9c2ff3e4651
5c254d25751269892b6f02d6c6384aef

193.37.69.225
193.37.69.162https://t.co/tROBE7uw8I #OSINT #security #malware #darkweb #hack #infosec #netsec #TOR pic.twitter.com/QkzFF5SNUD
— RAKESH KRISHNAN (@RakeshKrish12) 20. marts 2025

VanHelsing Ransomware Source Code Leaked After Failed $10K Sale Attempt

In a dramatic turn of events, the VanHelsing ransomware-as-a-service (RaaS) operation, which emerged just two months ago, has been rocked by a major leak of its infrastructure. According to BleepingComputer,… pic.twitter.com/4GZNftANyg
— CTI Academy (@CTIAcademy) 21. maj 2025

Cross-Platform #VanHelsing Ransomware Targets Windows, Linux and VMware ESXi

While #ransomware groups are increasingly developing #Linux variants, most attacks remain concentrated on #Windows environments—for now...https://t.co/slndxRX23x #cybersecurity #infosec #security… pic.twitter.com/CAXo0fKLEn
— HalcyonAI (@HalcyonAi) 31. marts 2025

🚨 VanHelsing Ransomware hit 3 victims within weeks of launch. Cross-platform, $500K ransoms, and growing fast. Intel 471 is tracking it, read the full report: https://t.co/ejkEhQkrIt #vanhelsing #ransomware #emergingthreats #threathunting #cybersecurity pic.twitter.com/4vOr0pWgIl
— Intel 471 (@Intel471Inc) 2. april 2025

VanHelsing ransomware builder leaked online by old developer

The VanHelsing ransomware operation has leaked its own source code after an alleged former developer, 'th30c0der,' attempted to sell it on the RAMP cybercrime forum for $10,000. The leak includes the Windows encryptor… pic.twitter.com/vLlji7wWoU
— Ransom-DB (@Ransom_DB) 20. maj 2025

VanHelsing ransomware builder leaked on hacking forum pic.twitter.com/Y35PLfM8IG
— SabatAge (@sabatage) 21. maj 2025

Vanhelsing Ransomware

- Locker Sample(hash): 86d812544f8e250f1b52a4372aaab87565928d364471d115d669a8cc7ec50e17
- extension: .vanhelsing
- ransomnote: README.txt pic.twitter.com/sIzaAAPb7S
— mrglwglwgl (@mrglwglwgl) 17. marts 2025

🚨Alleged Sale of Vanhelsing Ransomware Source Code pic.twitter.com/CmyTbCnvM5
— Dark Web Informer (@DarkWebInformer) 20. maj 2025

New VanHelsing ransomware targets Windows, ARM, ESXi systems https://t.co/697XAo5P5T #Security
— The Cyber Security Hub™ (@TheCyberSecHub) 24. marts 2025

#VanHelsing #Ransomware group has allegedly compromised the systems of the City of Bellville, Texas (https://t.co/gQbYhg9d4W), the county seat of Austin County, providing local government services, public safety, infrastructure maintenance, and community development 🇺🇸.

It… pic.twitter.com/TGwarc9V6H
— VenariX (@_venarix_) 18. marts 2025

إعلان جديد لـ RaaS للـ gentlemen في المنتديات السرية

29 أكتوبر، 2025 من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

الممثل المهدد zeta88 يروج لعملية ransomware-as-a-service جديدة تُدعى The Gentlemen's RaaS في منتديات الهكر، مستهدفًا أنظمة Windows وLinux وESXi. تقدم المنصة للشركاء 90 في المئة من مدفوعات الفدية وتتميز بأدوات تشفير عابرة للمنصات تم تطويرها بلغوي Go وC. يبرز هذا التطور التجارية المستمرة للرنسوموير المتطور المستهدف لبيئات المؤسسات.

يطلق CyberVolk برمجية الفدية VolkLocker المستهدفة لـ Linux و Windows

أعادت مجموعة الهاكتيفيست المؤيدة لروسيا CyberVolk الظهور بمنصة ransomware-as-a-service جديدة تُدعى VolkLocker، تدعم كلاً من أنظمة Linux و Windows. وثّقت للمرة الأولى في 2024 بواسطة SentinelOne، عادت المجموعة بعد فترة من الخمول الناجم عن حظر Telegram. رغم التلقائية المتقدمة عبر bots Telegram، يحتوي البرمجيات الضارة على عيوب تشفير كبيرة قد تسمح للضحايا باستعادة الملفات دون دفع.

برمجية الـ Qilin الفدائية تنشر ملفات تنفيذية لينكس ضد أنظمة ويندوز

27 أكتوبر، 2025 من إعداد الذكاء الاصطناعي

مجموعة الـ Qilin الفدائية، المعروفة أيضًا باسم Agenda، طورت هجومًا هجينًا باستخدام حمولات لينكس على مضيفي ويندوز للتهرب من الكشف. من خلال إساءة استخدام أدوات إدارة عن بعد شرعية واستغلال برامج تشغيل ضعيفة، يقوم المهاجمون بتعطيل الدفاعات واستهداف النسخ الاحتياطية. تبرز هذه التكتيك متعدد المنصات تطور التعقيد في برمجيات الفدية.

لينكس

متغير جديد من برمجية SysUpdate الضارة يستهدف أنظمة لينكس

تكنولوجيا

قراصنة روس يستغلون ثغرة في مايكروسوفت أوفيس أيام بعد التصحيح

لينكس

باحثون يكتشفون variante جديدة من برمجية التجسس SysUpdate تستهدف لينكس

مجموعة NightSpire الرنسوموير تدعي اختراق بيانات Hyatt

ادّعت مجموعة ransomware تُدعى NightSpire مسؤولية اختراق أنظمة Hyatt وسرقة البيانات. وتقول المجموعة إنها حصلت على ما يقرب من 50 جيجابايت من الملفات من سلسلة الفنادق، والتي تخطط لبيعها. يبرز هذا الحادث التهديدات الأمنية السيبرانية المستمرة لقطاع الضيافة.

يكتشف Check Point برمجية خبيثة VoidLink متقدمة لـ Linux في السحابة

14 يناير، 2026 من إعداد الذكاء الاصطناعي

اكتشف باحثو الأمن في Check Point برمجية VoidLink، وهو إطار برمجيات خبيثة جديد متقدم لـ Linux مصمم لاستهداف بنى السحابة. مكتوب بلغة Zig ومرتبط بمطورين صينيين، يحتوي على أكثر من 30 إضافة للاستطلاع السري، سرقة البيانات الاعتمادية، والحركة الجانبية. لم يُلاحظ بعد أي عدوى حقيقية، لكن قدراته تشير إلى تهديد متنامٍ للبيئات السحابية المؤسسية.

محترفو الأمن السيبراني الأمريكيون يعترفون بالذنب في هجمات برمجيات الفدية بلاك كات

عترف اثنان من محترفي الأمن السيبراني المقيمين في الولايات المتحدة بالذنب في المشاركة في هجمات برمجيات الفدية بلاك كات. يواجه رايان كليفورد غولدبرغ وكيفن تايلر مارتن سنوات محتملة في السجن بسبب تورطهما.

باحثون يكتشفون برمجية ClipXDaemon الخبيثة التي تستهدف مستخدمي العملات المشفرة على Linux

9 مارس، 2026 من إعداد الذكاء الاصطناعي

اكتشف باحثو الأمن في Cyble برمجية خبيثة جديدة لـ Linux تُدعى ClipXDaemon، والتي تخطف عناوين محافظ العملات المشفرة بتعديل محتوى الحافظة على الأنظمة المعتمدة على X11. تعمل البرمجية الخبيثة بدون خوادم التحكم والقيادة، حيث تراقب وتستبدل العناوين في الوقت الفعلي لإعادة توجيه الأموال إلى المهاجمين. تستخدم عملية إصابة متعددة المراحل وتقنيات تخفي للتهرب من الكشف.

12 مارس 2026 22:40

برمجية الفدية VanHelsing RaaS تستهدف منصات متعددة

ما يقوله الناس

مقالات ذات صلة

إعلان جديد لـ RaaS للـ gentlemen في المنتديات السرية

يطلق CyberVolk برمجية الفدية VolkLocker المستهدفة لـ Linux و Windows

برمجية الـ Qilin الفدائية تنشر ملفات تنفيذية لينكس ضد أنظمة ويندوز

متغير جديد من برمجية SysUpdate الضارة يستهدف أنظمة لينكس

قراصنة روس يستغلون ثغرة في مايكروسوفت أوفيس أيام بعد التصحيح

باحثون يكتشفون variante جديدة من برمجية التجسس SysUpdate تستهدف لينكس

مجموعة NightSpire الرنسوموير تدعي اختراق بيانات Hyatt

يكتشف Check Point برمجية خبيثة VoidLink متقدمة لـ Linux في السحابة

محترفو الأمن السيبراني الأمريكيون يعترفون بالذنب في هجمات برمجيات الفدية بلاك كات

باحثون يكتشفون برمجية ClipXDaemon الخبيثة التي تستهدف مستخدمي العملات المشفرة على Linux

الولايات المتحدة وأوروبا تعطلان شبكة الوكيل SocksEscort

باحثون يكتشفون شبكة بوتنت SSHStalker التي تصيب خوادم لينكس

الباحثون يكشفون إطار استغلال ShadowHS لنظام لينكس

إطار برمجيات خبيثة VoidLink بمساعدة الذكاء الاصطناعي يستهدف خوادم لينكس السحابية

يستهدف UAT-7290 المرتبط بـ الصين شركات الاتصالات ببرمجيات خبيثة لينكس

مجموعات مرتبطة بـChina ومجرمو الإنترنت يزيدون من استغلال ثغرات React2Shell

عيب مفتاح رئيسي بنص عادي يعيق VolkLocker الخاص بـ CyberVolk

لص لوكا المبني على روست يستهدف أنظمة لينكس وويندوز

مجرمو الجرائم الإلكترونية الروس يطلقون برمجيات فدية جديدة

قراصنة روس يستخدمون آلات افتراضية لينكس لإخفاء البرمجيات الضارة على ويندوز

يستخدم هذا الموقع ملفات تعريف الارتباط