ثغرة سيتريكس Bleed 2 أصبحت بوابة مقلقة لهجمات الفدية، بعدما استغلها مهاجمون للوصول الأولي إلى الشبكات وسرقة بيانات الاعتماد.
ما هي ثغرة سيتريكس Bleed 2 ولماذا عادت للواجهة؟
تشير التقارير الحديثة إلى أن مجموعات مرتبطة ببرمجيات الفدية بدأت تعتمد على ثغرة CVE-2025-5777، المعروفة باسم Citrix Bleed 2، لاختراق بيئات Citrix NetScaler ADC وGateway.
تكمن خطورة الثغرة في أنها تسمح بتجاوز المصادقة في بعض الإعدادات الحرجة، ما يمنح المهاجمين نقطة دخول سريعة قبل التحرك داخل الشبكة. ولهذا تُعد من أخطر الثغرات التي تتابعها فرق الأمن حالياً.
ما الذي يجعلها شديدة الخطورة؟
- تصنيف خطورة مرتفع بدرجة 9.3 من 10
- تستهدف بوابات الوصول البعيد وخوادم المصادقة
- تُستخدم للوصول الأولي قبل نشر برامج الفدية
- قد تندمج مع بيانات VPN مسروقة لتسهيل الاختراق
كيف تستغل مجموعات الفدية ثغرة سيتريكس Bleed 2؟
بحسب ما رصدته شركات الأمن، فإن المهاجمين لا يعتمدون على أسلوب واحد. بعضهم يستخدم بيانات دخول VPN صحيحة، بينما يلجأ آخرون إلى استغلال ثغرة سيتريكس Bleed 2 مباشرة للوصول إلى الأنظمة.
بعد الاختراق الأولي، تبدأ مرحلة التمويه داخل الشبكة عبر أدوات إدارة ودعم فني شرعية، ما يجعل النشاط يبدو قريباً من أعمال فرق تقنية المعلومات الطبيعية.
- استخدام أدوات وصول عن بُعد مثل ScreenConnect وZoho Assist
- الاعتماد على MeshAgent وRemotely وUltraVNC
- التحرك الجانبي داخل الشبكة بأسلوب hands-on-keyboard
- محاولة جمع كلمات المرور والتصعيد داخل الأنظمة
من هي مجموعة Anubis وما أبرز ضحاياها؟
تُعرف Anubis بأنها مجموعة تعمل وفق نموذج RaaS أو «الفدية كخدمة»، وظهرت بصورتها الحالية أواخر 2024 بعد إعادة تموضع من سلالة Sphinx. ثم جرى الإعلان عنها رسمياً في مطلع 2025 داخل منتديات إجرامية متخصصة.
ووفق الأرقام المتداولة، نسبت المجموعة لنفسها 91 ضحية عبر موقع تسريب البيانات، بينها 11 حالة خلال يونيو 2026 فقط. هذا التصاعد يوضح سرعة انتشارها وقدرتها على توسيع العمليات خلال فترة قصيرة.
القطاعات والدول الأكثر استهدافاً
- الرعاية الصحية
- الخدمات التجارية
- التصنيع
- التقنية والخدمات المالية
- الولايات المتحدة في الصدارة، تليها بريطانيا وأستراليا وفرنسا وكندا
لماذا تثير ميزة المسح القسري القلق لدى الشركات؟
واحدة من أخطر خصائص Anubis هي الجمع بين التشفير وإمكانية المسح التخريبي للملفات. عند تفعيل وضع المسح، تبقى الملفات ظاهرياً داخل المجلدات لكنها تتحول إلى حجم صفري، ما يصعّب فرص الاستعادة حتى لو تأخر الرد الأمني.
هذا الأسلوب يرفع الضغط على الضحايا بشكل كبير، لأن التهديد لا يقتصر على حجب البيانات فقط، بل يمتد إلى احتمال تدميرها نهائياً. وهنا ترى تيكبامين أن الخطر التشغيلي قد يكون أكبر من الخسارة المالية المباشرة.
كيف تحمي الشركات نفسها من هجمات الفدية المرتبطة بالثغرة؟
الاستجابة الفعالة تبدأ بتحديث أنظمة Citrix فوراً، ثم مراجعة سجلات VPN والاتصالات الصادرة من مزودي استضافة غير معتادين. كما يجب تقييد أدوات الإدارة عن بُعد ومراقبة استخدامها بدقة.
- تطبيق التحديثات الأمنية الخاصة بـ Citrix NetScaler دون تأخير
- فرض المصادقة متعددة العوامل على حسابات VPN
- مراجعة الأدوات الشرعية التي قد تُساء إساءة استخدامها
- عزل الأنظمة المصابة ومراقبة الحركة الجانبية
- اختبار النسخ الاحتياطية وخطط التعافي بشكل دوري
في النهاية، تؤكد موجة الهجمات الأخيرة أن ثغرة سيتريكس Bleed 2 ليست مجرد خلل تقني عابر، بل نقطة استغلال فعالة لعمليات الفدية الحديثة، وهو ما يجعل سرعة التصحيح والمراقبة المستمرة أولوية قصوى لكل مؤسسة، كما تشير تيكبامين.