تقارير وتحليلات
واشنطن: الولايات المتحدة تتهم هكر يمني بالوقوف وراء هجمات الفدية "مملكة الظلام" التي استهدفت 1500 نظام حول العالم
يمن فيوتشر - The Hacker News- ترجمة خاصة: السبت, 03 مايو, 2025 - 04:39 مساءً
واشنطن: الولايات المتحدة تتهم هكر يمني بالوقوف وراء هجمات الفدية

أعلنت وزارة العدل الأميركية، الخميس، توجيه اتهامات إلى مواطن يمني يبلغ من العمر 36 عامًا، بزعم تورطه في نشر برنامج الفدية "مملكة الظلام" (Black Kingdom) ضد أهداف عالمية، شملت شركات ومؤسسات تعليمية ومرافق صحية داخل الولايات المتحدة.
ووفقًا للبيان، فإن (رامي خالد أحمد)، من سكان العاصمة اليمنية صنعاء، يواجه ثلاث تهم فدرالية: التآمر، والتسبب عمدًا في إلحاق ضرر بنظام حاسوبي محمي، والتهديد بإلحاق ضرر مماثل. وتشير التقديرات إلى أن أحمد يقيم حاليًا في اليمن.
وجاء في بيان وزارة العدل الأميركية أن "أحمد وآخرين قاموا، في الفترة ما بين مارس/ آذار 2021 ويونيو/ حزيران 2023، باختراق شبكات حاسوبية لعدد من الضحايا في الولايات المتحدة، من بينهم شركة خدمات طبية في إنسينو، ومنتجع تزلج في ولاية أوريغون، ومنطقة تعليمية في بنسلفانيا، وعيادة صحية في ويسكونسن."
و يُتهم أحمد بتطوير ونشر برنامج الفدية من خلال استغلال ثغرة أمنية في خادم Microsoft Exchange تُعرف باسم "بروكسي لوغون" (ProxyLogon).
وكان البرنامج الخبيث يعمل إما على تشفير بيانات الضحايا أو على الادعاء بسرقتها، ثم يُسقط رسالة فدية داخل النظام المخترق تطلب من الضحية دفع مبلغ 10,000 دولار بعملة "البيتكوين" إلى عنوان محفظة رقمية يسيطر عليه أحد شركاء المتهم.
كما طُلب من الضحايا إرسال إثبات الدفع إلى عنوان بريد إلكتروني مرتبط ببرنامج "مملكة الظلام". وتُقدّر الجهات الأميركية أن هذا البرنامج استُخدم في استهداف نحو 1500 نظام حاسوبي داخل الولايات المتحدة وخارجها.
وقد تم تتبّع هذه العائلة من برمجيات الفدية أيضًا تحت اسم "بايدومر" (Pydomer)، حيث سبق ربطها بهجمات استغلت ثغرات في شبكة VPN التابعة لشركة Pulse Secure (الثغرة المُعرّفة بـ CVE-2019-11510). وكانت شركة مايكروسوفت قد كشفت، في أواخر مارس/ آذار 2021، أن "مملكة الظلام" كانت أول برمجية فدية معروفة تستغل ثغرات "بروكسي لوغون" (ProxyLogon) في خوادم Microsoft Exchange.
ووصفت شركة الأمن السيبراني "سوفوس" (Sophos) برنامج "مملكة الظلام" بأنه "بدائي نوعًا ما ويفتقر للاحترافية من حيث البناء"، مشيرة إلى أن المهاجمين استغلوا ثغرات ProxyLogon لزرع أدوات تحكّم تُعرف بـ"ويب شيلز"، والتي استُخدمت لاحقًا لتنفيذ أوامر PowerShell من أجل تحميل برنامج الفدية.
كما أضافت الشركة أن سلوك الحملة يحمل سمات "هاوٍ مدفوع الدافع" أكثر منه فاعلًا محترفًا. وفي وقت لاحق، خلال شهر أغسطس/ آب من نفس العام، تم رصد جهة تهديد نيجيرية تحاول تجنيد موظفين داخليين، عبر عرض مليون دولار من عملة البيتكوين مقابل مساعدتهم في نشر برمجية "مملكة الظلام" داخل شبكات شركاتهم، كجزء من مخطط اختراق داخلي منسّق.
و في حال إدانته، يواجه رامي أحمد عقوبة تصل إلى خمس سنوات في السجن الفدرالي عن كل تهمة وُجّهت إليه. ويقوم بمباشرة التحقيق في القضية "مكتب التحقيقات الفدرالي" (FBI) بالتعاون مع شرطة نيوزيلندا.
وتأتي هذه التهم في سياق موجة من الإعلانات التي أصدرتها السلطات الأميركية مؤخرًا ضد أنشطة إجرامية متعددة، من بينها:

• وزارة العدل الأميركية كشفت عن لائحة اتهام ضد المواطن الأوكراني أرتيم ستريجـاك، تتهمه بشن هجمات على شركات باستخدام برمجية الفدية "نفيليم" (Nefilim)، منذ انضمامه كمشارك في الحملة في يونيو/ حزيران 2021. وقد تم اعتقاله في إسبانيا في يونيو/ حزيران 2024، وتسليمه للولايات المتحدة في 30 أبريل/ نيسان 2025. وفي حال إدانته، يواجه عقوبة تصل إلى خمس سنوات سجنًا.

• تم تسليم البريطاني (تايلر روبرت بيوكانن)، المشتبه بانتمائه إلى جماعة القرصنة السيبرانية سيئة الصيت (Scattered  Spider)، من إسبانيا إلى الولايات المتحدة، لمواجهة تهم تتعلق بالاحتيال الإلكتروني وسرقة الهوية المشدّدة. وكان قد اعتُقل في إسبانيا في يونيو/ حزيران 2024، فيما أعلنت السلطات الأميركية عن التهم الموجهة إليه ولعدد من أفراد الجماعة في نوڤمبر/ تشرين الثاني 2024.

• وفي قضية أخرى، تم توقيف وتوجيه تهم إلى كل من ليونيداس فاراغيـانيس (المعروف باسم "وار"، 21 عامًا)، وبراسان نيپال (المعروف باسم "تريپي"، 20 عامًا)، وهما زعيمان مزعومان لمجموعة تُعرف باسم 764 متورطة في ابتزاز الأطفال، حيث يُتهمان بإدارة وتوزيع مواد استغلال جنسي لأطفال. وتشير التحقيقات إلى أنهما استغلا ما لا يقل عن ثمانية ضحايا من القُصّر.

• ريتشارد أنتوني رينا دينسمور، عضو آخر في شبكة 764، تم إدانته في نوڤمبر/ تشرين الثاني 2024 بالسجن لمدة 30 عامًا في الولايات المتحدة بتهمة استغلال طفل جنسيًا. أعضاء شبكة 764 مرتبطون بـ "الكوم"، وهي مجموعة متنوعة من الفصائل المتصلة بشكل غير محكم التي تقوم بارتكاب جرائم مالية وجنسية وعنيفة. كما تضم أيضًا مجموعة "سكاتر سبايدر".

• قامت شبكة مكافحة الجرائم المالية التابعة لوزارة الخزانة الأمريكية (فينسِن) بـ تصنيف مجموعة "هويون" الكمبودية كمؤسسة تمثل "قلقًا رئيسيًا بشأن غسيل الأموال" بالنسبة لعصابات الجرائم السيبرانية العابرة للحدود في جنوب شرق آسيا، وذلك من خلال تسهيل عمليات الاحتيال عبر "خداع الرومانسية" وتقديمها كحلقة وصل حاسمة في غسل عائدات السرقات الإلكترونية التي نفذتها جمهورية كوريا الشعبية الديمقراطية (الـ DPRK). تم سحب ترخيص مصرف "هويون باي" في مارس 2025 من قبل البنك الوطني الكمبودي.


• زيادة هجمات الفدية مع انخفاض المدفوعات

تأتي هذه التطورات في وقت ما زالت فيه هجمات الفدية تشكل تهديدًا مستمرًا، وإن كان يتسم بتزايد الانقسام والتقلبات، حيث تسببت الإجراءات المستمرة من قبل قوات إنفاذ القانون في حدوث تغييرات كبيرة في الأساليب المتبعة. و يشمل ذلك الزيادة في الهجمات التي لا تعتمد على التشفير، بالإضافة إلى توجه المجرمين السيبرانيين نحو الابتعاد عن المجموعات التقليدية الهرمية لصالح أسلوب العمل الفردي.
وقال هالسيون: "تُصبح عمليات الفدية أكثر لامركزية، مع تزايد عدد المتعاونين السابقين الذين يختارون العمل بشكل مستقل بدلاً من البقاء مرتبطين بالمجموعات القائمة". وأضاف: "دفع هذا التحول عدة عوامل، بما في ذلك التنسيق المتزايد بين أجهزة إنفاذ القانون، والنجاحات الكبيرة في تدمير بنية الفدية التحتية، وكذلك الدفع الأوسع من قبل الفاعلين لتجنب التحديد عبر التدوير في العلامات التجارية أو الحملات غير المسماة".
وتظهر البيانات التي جمعتها فيرايزون أن 44% من جميع الاختراقات التي تم تحليلها في عام 2024 تضمنت استخدام نوع من الفدية، مقارنة بـ 32% في عام 2023. لكن هناك أخبارًا جيدة: حيث رفض المزيد من الضحايا دفع الفدية مقارنة بأي وقت مضى، وأصبح عدد أقل من المنظمات مستعدًا لدفع المبالغ المطلوبة.
وقالت فيرايزون في تقريرها لتحقيقات اختراق البيانات 2025: "للسنة التقويمية 2024، كانت الفدية المدفوعة المتوسطة تبلغ 115,000 دولار، وهي انخفاض من 150,000 دولار في العام السابق. كما أن 64% من المنظمات الضحية لم تدفع الفدية، وهو ما يمثل زيادة عن 50% قبل عامين".
ووفقًا لـ كوفوير، كانت الفدية المدفوعة المتوسطة في الربع الأول من عام 2025 تبلغ 552,777 دولارًا، وهو انخفاض بنسبة 0.2% عن الربع السابق، في حين ارتفعت الفدية المتوسطة بنسبة 80% لتصل إلى 200,000 دولار.
و قالت الشركة: "ارتفعت نسبة الشركات التي اختارت دفع الفدية، سواء للحصول على مفاتيح فك التشفير أو لمنع المهاجم من نشر البيانات المخترقة على موقع تسريب البيانات الخاص به، بشكل طفيف في الربع الأول من عام 2025".
و تم تسجيل معدل تسوية دفع الفدية خلال هذه الفترة عند 27%، بانخفاض من 85% في الربع الأول من عام 2019، و73% في الربع الأول من عام 2020، و56% في الربع الأول من عام 2021، و46% في الربع الأول من عام 2022، و45% في الربع الأول من عام 2023، و28% في الربع الأول من عام 2024.
وأضافت الشركة: "بينما تستمر الهجمات بالتأكيد في الحدوث، وتستمر المجموعات الجديدة في الظهور كل شهر، فإن الآلة الفعالة التي بنتها مجموعات الفدية الأولية تواجه مشكلات تبدو من غير المحتمل أن يتم حلها".

وعلى الرغم من هذه الانتكاسات، لا تظهر أي علامة على توقف هجمات الفدية في المستقبل القريب، حيث شهد الربع الأول من عام 2025 تسجيل 2,289 حادثة، بزيادة قدرها 126% مقارنة بالربع الأول من عام 2024، وفقًا لتقرير Check Point. ومع ذلك، شهدت هجمات الفدية انخفاضًا بنسبة 32% شهريًا في مارس/ آذار 2025، مع 600 حادثة معلنة.
و شكلت أمريكا الشمالية وأوروبا أكثر من 80% من الحالات، وكانت القطاعات الأكثر استهدافًا من قبل هجمات الفدية تشمل السلع والخدمات الاستهلاكية، والخدمات التجارية، والانتاج الصناعي، والرعاية الصحية، والبناء والهندسة.
و قال الدكتور دارين ويليامز، المؤسس والرئيس التنفيذي لشركة BlackFog: "حجم حوادث الفدية يصل إلى مستويات غير مسبوقة. وهذا يخلق تحديات مستمرة للمنظمات التي تتعامل مع المهاجمين الذين يركزون على التعطيل، وسرقة البيانات، والابتزاز. ستظهر مجموعات جديدة وتتفكك، ولكنها جميعها تركز على الهدف النهائي نفسه، وهو استخراج البيانات".

لقراءة المادة من موقعها الاصلي: 

https://thehackernews.com/2025/05/us-charges-yemeni-hacker-behind-black.html?m=1


كلمات مفتاحية:

هكر يمني وزارة العدل الأميركية تورط يمني في نشر برنامج الفدية مملكة الظلام الولايات المتحدة الأمريكية
التعليقات
الأحدث في تقارير وتحليلات
أرشيف الأخبار