ديدلوك رانسموير يستخدم الشفرة للتهرب من طرق الإيقاف التقليدية عبر بلوكتشين بوليجون

كشف باحثو الأمن عن تقنية مبتكرة ومقلقة حيث تستغل عملية فدية برمجيات العقود الذكية على شبكة بوليجون للحفاظ على بنية تحكم واستمرارية في القيادة والسيطرة بشكل دائم، مما يصعب إيقافها باستخدام الطرق التقليدية. تمثل هذه المقاربة المعتمدة على الكود تحولًا كبيرًا في كيفية استغلال مجرمي الإنترنت لتقنية البلوكشين لأغراض إجرامية.

نشرت شركة Group-IB، وهي شركة رائدة في أبحاث الأمن السيبراني، نتائجها في 15 يناير، موضحة كيف يستخدم سلالة الفدية DeadLock — التي رُصدت لأول مرة في منتصف 2025 — هذه الطريقة الجديدة. على عكس عمليات الفدية التقليدية التي تعتمد على خوادم مركزية عرضة للتعطيل، تستغل هذه التهديدات العقود الذكية المتاحة علنًا لتخزين وإدارة عناوين البروكسي الدوارة، مما يخلق بنية موزعة يصعب تعطيلها بشكل فعال.

كيف يتجنب كود الفدية الكشف عبر البلوكشين

النهج التقني بسيط بشكل مخادع لكنه فعال للغاية. بمجرد أن يخترق DeadLock نظام الضحية ويُنفذ حمولة التشفير، يحتوي البرنامج الضار على كود مدمج مبرمج لاستعلام عقد ذكي معين على شبكة بوليجون بشكل منتظم. يعمل هذا العقد كمخزن ديناميكي للإعدادات، ويحتوي على عناوين خوادم البروكسي الحالية التي تسهل قنوات الاتصال بين المهاجمين والأنظمة المخترقة.

تكمن روعة هذا الهيكل في طبيعته اللامركزية. يمكن للمهاجمين تحديث عناوين البروكسي داخل العقد الذكي في أي وقت، مما يسمح لهم بتدوير بنيتهم التحتية باستمرار دون الحاجة لإعادة نشر البرمجيات الخبيثة على أجهزة الضحايا. والأهم أن الفدية تقوم فقط بعمليات قراءة على البلوكشين — لا يتم إصدار أي معاملات من قبل الضحايا ولا يتحملون رسوم غاز. تضمن خاصية القراءة فقط أن يظل العمل سريًا وفعالًا من حيث التكلفة.

آلية تدوير البروكسي تخلق في الأساس بنية اتصال مرنة وقوية تتجدد ذاتيًا، يصعب على سلطات إنفاذ القانون التقليدية قطعها. كل تغيير في البروكسي يتم على السلسلة، مسجل بشكل لا يمكن تغييره، لكنه يعمل على الفور، مما يجعل المدافعين يلاحقون أهدافًا تتغير باستمرار.

لماذا تتجنب هذه الاستراتيجية البرمجية الكشف التقليدي

يختلف نموذج التهديد بشكل جوهري عن بنية الفدية التقليدية. فخوادم القيادة والسيطرة التقليدية، رغم عرضتها للتعطيل والمصادرة، تعمل من مواقع يمكن التعرف عليها. يمكن للسلطات تتبعها وتحديدها وإيقافها. أما شبكة بوليجون المبنية على البلوكشين الموزع، فهي تلغي تمامًا نقطة الضعف هذه.

نظرًا لأن بيانات العقد الذكي تتكرر عبر آلاف العقد الموزعة حول العالم، فلا يوجد نقطة فشل واحدة. تعطيل عنوان بروكسي واحد يكون عديم الجدوى، لأن البرمجية الخبيثة تسترجع عناوين محدثة تلقائيًا من عقد ذكي لا يمكن تغييره. تتيح البنية التحتية مرونة غير مسبوقة من خلال اللامركزية — وهي ميزة تجعل إجراءات الإيقاف التقليدية غير فعالة إلى حد كبير.

حددت تحليلات Group-IB عدة عقود ذكية مرتبطة بهذه الحملة تم نشرها أو تحديثها بين أواخر 2025 وأوائل 2026، مما يؤكد استمرار النشاط التشغيلي. وقدرت الشركة أن عدد الضحايا محدود في الوقت الحالي، مع عدم وجود روابط مؤكدة مع شبكات الفدية التابعة أو منصات تسريب البيانات العامة.

تمييز مهم: سوء استخدام الكود مقابل ثغرة في البروتوكول

أكد الباحثون على توضيح مهم: أن DeadLock لا يستغل ثغرات في شبكة بوليجون نفسها، ولا يختطف عقود ذكية تابعة لأطراف ثالثة تدير بروتوكولات التمويل اللامركزي أو محافظ العملات الرقمية أو خدمات الجسور. لا يكتشف أو يستغل الثغرات الأمنية أو عيوب في البروتوكول.

بدلاً من ذلك، يستغل المهاجمون ما هو في الأساس ميزة في البلوكشين العام — الشفافية، وعدم القابلية للتغيير، والقراءة العامة للبيانات على السلسلة. تشبه هذه التقنية هجمات “EtherHiding” السابقة التي استغلت خصائص البلوكشين الذاتية بدلاً من الثغرات التقنية.

وهذا التمييز مهم جدًا للنظام البيئي الأوسع. فمستخدمي شبكة بوليجون لا يتعرضون لمخاطر تقنية مباشرة من خلال استغلال البروتوكول. يعمل البلوكشين تمامًا كما هو مصمم. ومع ذلك، يوضح الحالة كيف يمكن إعادة توظيف السجلات العامة لدعم بنية تحتية إجرامية بطرق تتجاوز التدابير الأمنية التقليدية.

تداعيات تطور مشهد التهديدات

رغم أن عمليات DeadLock الحالية تظل محدودة نسبيًا، يحذر خبراء الأمن السيبراني من أن المنهجية تمتلك قدرة عالية على التكرار. فهي تقنية غير مكلفة، ولا تتطلب بنية تحتية متخصصة، ويصعب حظرها أو التصدي لها بشكل منهجي. وإذا تبنت مجموعات الفدية أو المؤسسات الإجرامية الأكثر رسوخًا أساليب مماثلة، فقد تتصاعد التداعيات الأمنية بشكل كبير.

تتيح هذه الاستراتيجية المعتمدة على الكود ديمقراطية بنية القيادة والسيطرة المرنة، وتوفر تقنيات تملص قوية حتى لمجرمي الإنترنت ذوي الموارد المحدودة. ومع انتشار تقنية البلوكشين عبر شبكات متعددة وتوسع حلول الطبقة الثانية، من المحتمل أن تتضاعف فرص سوء الاستخدام المماثلة.

تعد إفصاحات Group-IB بمثابة مؤشر مبكر على أن تداخل تطور الفدية وفاعلية البلوكشين يخلق مسارات هجوم جديدة تتطلب تفكيرًا دفاعيًا مبتكرًا ومراقبة استباقية. وتؤكد الحالة كيف أن شفافية البلوكشين العامة، رغم فوائدها للتطبيقات المشروعة، تتيح في الوقت ذاته طرقًا إبداعية للمهاجمين لتجنب التدابير الدفاعية المعتمدة على الكود والبنية التحتية.