برنامج الفدية Anubis يضيف أداة تدمير الملفات نهائيًا ويمنع استرجاعها
هذا النوع من الفدية يُدمِّر البيانات تماماً في بعض الحالات حتى بعد الدفع
أضافت عملية Anubis التي تعمل بنظام البرمجيات كخدمة للفدية (Ransomware-as-a-Service – RaaS) وحدة مسح (wiper) إلى برمجية التشفير الخاصة بها، تعمل على تدمير الملفات المستهدفة بالكامل، مما يجعل عملية الاسترداد مستحيلة حتى في حال دفع الفدية.
يُشار إلى أن Anubis -والذي لا يجب الخلط بينه وبين برمجية الأندرويد التي تحمل نفس الاسم وتحتوي على وحدة فدية- يُعد أحد أبرز التهديدات الحديثة نسبياً، حيث رُصِد للمرة الأولى في ديسمبر/كانون الثاني 2024، وازدادت نشاطاته بشكل ملحوظ مع بداية العام الجاري 2025.
في 23 فبراير/شباط الماضي، أعلن القائمون على البرنامج عن إطلاق برنامج الشركاء (affiliate program) على منتدى RAMP، وهو ما شكَّل بداية لتوسيع العمليات.
نموذج الأرباح لشركاء Anubis
وفقاً لتقرير صادر عن شركة KELA، فإن Anubis يقدم للشركاء الذين يُنفِّذون هجمات الفدية نسبة 80% من العائدات، بينما يحصل شركاء الابتزاز الإلكتروني على 60%، ويحصل وسطاء الوصول الأولي (Initial Access Brokers) على 50% من الأرباح.
وعلى الرغم من أن صفحة الابتزاز الخاصة ببرنامج Anubis على الدارك ويب تضم حالياً فقط ثماني ضحايا، إلا أن المؤشرات تقودنا نحو توسيع الهجمات لاحقاً مع تحسُّن الكفاءة التقنية للبرنامج.
وحدة التدمير: سلاح ضغط جديد
بحسب تقرير حديث عن شركة Trend Micro، فإن مشغلي Anubis يعملون حالياً على تطوير مزايا جديدة، من بينها ميزة غير معتادة تتمثل في وظيفة تدمير الملفات.
وجد الباحثون في Trend Micro أن النسخ الأحدث من Anubis تحتوي على وحدة Wiper، يُعتقد أنها أُضيفت لزيادة الضغط على الضحية ودفعها للإذعان بسرعة، بدلاً من محاولة كسب الوقت أو تجاهل المطالب.
جاء في التقرير:
“ما يُميز Anubis عن باقي برمجيات الفدية كنظام خدمة، ويمنحه ميزة تنافسية، هو استخدامه لوظيفة مسح الملفات المصممة لإفشال محاولات الاسترداد حتى بعد التشفير، هذا السلوك التدميري يُضاعف الضغط على الضحايا، ويزيد من خطورة الهجوم.”
كيفية تشغيل وضع المسح (Wipe Mode)
يتم تفعيل هذا السلوك المُدمِّر عبر وسيط سطر الأوامر باستخدام المعلمة /WIPEMODE، والتي تتطلب مفتاح مصادقة للتنفيذ.
عند التفعيل، تقوم وحدة Wiper بمحو محتوى الملفات بالكامل، وتقلل حجم كل ملف إلى 0 كيلوبايت، مع الاحتفاظ بأسماء الملفات وهيكل المجلدات كما هو.
ما يعني أن الضحية سيظل يرى الملفات في أماكنها المعتادة، لكن بدون أي محتوى يمكن استرداده، وهي خطوة قاتلة في سياق هجمات الفدية، حيث تظهر الملفات في موقعها الأصلي قبل وبعد التشفير، لكنها تكون فارغة بالكامل بعد تفعيل وضع المسح
أوامر إضافية تدعمها Anubis
تشير التحليلات إلى دعم Anubis عدة أوامر عند التنفيذ، من ضمنها:
- رفع الامتيازات (Privilege Elevation).
- استثناء مجلدات محددة من التشفير.
- تحديد المسارات المستهدفة بالتشفير.
بينما يتم استثناء مجلدات النظام والتطبيقات الأساسية تلقائياً لتجنب تعطيل الجهاز بالكامل وجعل الفدية عديمة الفائدة.
كما يقوم البرنامج بحذف نسخ الظل (Volume Shadow Copies) ويغلق العمليات والخدمات التي قد تعيق عملية التشفير.
تقنية التشفير والملاحظات التقنية
يعتمد برنامج Anubis على خوارزمية ECIES (Elliptic Curve Integrated Encryption Scheme)، وهي خوارزمية تشفير متقدمة، وقد لاحظ الباحثون تشابهات بين طريقة التنفيذ في Anubis وبرمجيات فدية أخرى مثل EvilByte وPrince.
بعد التشفير، يتم إلحاق الملفات المصابة بامتداد .anubis، كما يتم إسقاط ملاحظة فدية بصيغة HTML في المجلدات المستهدفة، بينما حاول البرنامج -دون نجاح- تغيير خلفية سطح المكتب.
نقطة البداية: البريد الإلكتروني الاحتيالي
تبدأ هجمات Anubis عادةً من خلال رسائل تصيُّد عبر البريد الإلكتروني، تتضمن روابط خبيثة أو مرفقات ضارة.
لذا، فإن تجنب الإصابة ببرنامج الفدية Anubis أو غيره من برامج الفدية الحديثة يتطلب استراتيجية أمن إلكتروني شاملة، تتضمن التوعية والتقنيات الوقائية، والتخطيط للاستجابة في حال وقوع الهجوم.
إليك أهم الخطوات العملية لتجنُّب Anubis ransomware:
الحماية من التصيّد (Phishing) – خط الدفاع الأول
نظراً لأن هجمات Anubis تبدأ عادةً من رسائل بريد إلكتروني تصيّدية، من الضروري:
- تدريب الموظفين على التحقق من الرسائل المشبوهة، خصوصاً تلك التي تحتوي على روابط أو مرفقات غير متوقعة.
- عدم فتح الملفات المرفقة من مصادر غير معروفة.
- استخدام حلول Email Gateway مزوَّدة بفلترة متقدمة واكتشاف الروابط الخبيثة.
تحديث البرامج والتطبيقات باستمرار
تأكد من أن نظام التشغيل، والمتصفحات، ومضادات الفيروسات، وبرامج الطرف الثالث مُحدَّثة دائماً، فكثيراً ما تُستخدم الثغرات غير المُرقَّعة في الهجمات المعقدة، خاصة من قِبل جهات تهديد تستخدم برامج مثل Anubis.
استخدام برامج حماية متقدمة (EDR/XDR)
استخدم أنظمة اكتشاف التهديدات والاستجابة لها (EDR) أو أنظمة XDR التي ترصد النشاطات المشبوهة (مثل إنشاء ملفات مشفرة فجأة)، وتأكد من أن الحماية تشمل تقنيات السلوك الذكي (Behavior-based detection) وليس فقط التعرف على الملفات الضارة بالتوقيع.
النسخ الاحتياطي المنتظم للبيانات
قم بإنشاء نسخ احتياطية تلقائية ومنفصلة عن الشبكة الرئيسية (offline/offsite)، وجرُّب استعادة النسخ الاحتياطية دورياً للتأكد من صلاحيتها.
لا تكتفِ بنسخة سحابية فقط، بل احرص على نسخة غير متصلة بالشبكة في حال تم حذف أو تشفير النسخ الأخرى.
تقييد الامتيازات والصلاحيات
امنع المستخدمين من امتلاك صلاحيات غير ضرورية، واستخدم حسابات مستخدمين غير إدارية في المهام اليومية، كما ننصح في بلوك تِك بمراقبة استخدام أدوات التحكم عن بُعد، مع تفعيل التحقق الثنائي (MFA) خاصة للمديرين ومسؤولي تكنولوجيا المعلومات.
إعداد قواعد الحماية من التشفير والمسح
بما أن Anubis يستخدم أوامر مثل /WIPEMODE ويزيل نسخ الظل (Volume Shadow Copies)، فمن المهم إلغاء صلاحية المستخدمين في تنفيذ أوامر PowerShell/Shell إلا عند الضرورة، واستخدام Group Policy لمنع تنفيذ أوامر مثل vssadmin delete أو bcdedit أو wbadmin.
مراقبة الشبكة بشكل دائم (SIEM)
راقب أي نشاط غير معتاد في الشبكة، خصوصاً التشفير السريع للملفات، وحذف نسخ الظل، وتشغيل أوامر النظام الحساسة.
خطط الاستجابة للحوادث (Incident Response Plan)
أنشئ خطة استجابة واضحة في حال التعرض لهجوم، وإذا كنت في مؤسسة فاجعل الفريق يعرف أدواره: من يعزل الأنظمة؟ ومن يتواصل مع جهات خارجية؟ وكيف تُبلغ الجهات القانونية؟
نصيحة أخيرة من بلوك تِك، في حال أُصِبت ببرمجية مثل Anubis، لا تدفع الفدية قبل مراجعة خبير مختص، لأن هذا النوع من الفدية يُدمِّر البيانات تماماً في بعض الحالات حتى بعد الدفع، بفضل ميزة Wiper الجديدة.
المصادر:
