كشف خبراء الأمن السيبراني عن تفاصيل عائلة جديدة من برمجيات الفدية تُعرف باسم Reynolds، والتي تعتمد على تقنية متطورة لتعطيل أنظمة الحماية، وفقاً لما رصده فريق تيكبامين.
تتميز هذه البرمجية بدمج مكون خاص لاستغلال التعريفات الضعيفة (BYOVD) مباشرة داخل حمولة الفيروس، بهدف التخفي وتجاوز دفاعات الأنظمة المستهدفة بشكل أكثر فاعلية من السابق.
ما هي تقنية BYOVD وكيف تعمل؟
تُشير تقنية "جلب التعريف الضعيف الخاص بك" (BYOVD) إلى تكتيك هجومي يستغل فيه المخترقون برامج تعريف شرعية ولكنها تحتوي على ثغرات برمجية.
يسمح هذا الأسلوب للمهاجمين برفع صلاحياتهم داخل النظام وتعطيل حلول الكشف والاستجابة للنقاط النهائية (EDR)، مما يجعل الأنشطة الضارة تمر دون أن يلاحظها أحد.
وعادةً ما يتطلب هذا التكتيك نشر أداة منفصلة لتعطيل برامج الحماية قبل تشغيل الفيروس، لكن هجمات Reynolds طورت هذا الأسلوب بدمج التعريف المصاب (NsecSoft NSecKrnl) داخل الفيروس نفسه.
ما هي البرامج الأمنية التي تستهدفها Reynolds؟
صُممت برمجية Reynolds لإسقاط تعريف NsecSoft المصاب وإنهاء العمليات المرتبطة بمجموعة واسعة من برامج الحماية الشهيرة، مستغلة الثغرة الأمنية CVE-2025-68947.
وتشمل قائمة الأنظمة الأمنية المستهدفة ما يلي:
- برنامج Avast للحماية.
- نظام CrowdStrike Falcon.
- منصة Palo Alto Networks Cortex XDR.
- حلول Sophos الأمنية وHitmanPro.Alert.
- برنامج Symantec Endpoint Protection.
تطور خطير في هجمات الفدية
يشير خبراء تيكبامين إلى أن دمج مكون التهرب من الدفاعات داخل حمولة برمجية الفدية يجعل من الصعب للغاية على المدافعين إيقاف الهجوم في مراحله الأولى.
وعلى الرغم من أن هذا التكتيك ليس جديداً كلياً، حيث شوهد سابقاً في هجمات Ryuk عام 2020 وعائلة Obscura مؤخراً، إلا أن دمجه بهذه الطريقة يلغي الحاجة لخطوات تحضيرية معقدة من قبل المهاجمين.
المخاطر والتحذيرات
استخدمت مجموعات القرصنة تعريفات شرعية أخرى مثل truesight.sys وamsdk.sys في هجمات مماثلة خلال العام الماضي لتعطيل برامج الأمان.
كما لوحظ في حملة Reynolds وجود محمل جانبي مشبوه (side-loaded loader) على شبكة الضحية قبل عدة أسابيع من نشر الفيروس، مما يؤكد أهمية المراقبة الاستباقية للشبكات لكشف التحركات الجانبية قبل وقوع التشفير.
