في أعقاب تفكيك البنية التحتية لمجموعة BlackSuit عبر عملية أمنية دولية، ظهرت مجموعة جديدة تُدعى Chaos كفاعل جديد وخطير في ساحة برامج الفدية كخدمة (RaaS). تشير الأدلة التقنية والسلوكية إلى أن Chaos تتكون على الأرجح من أعضاء سابقين في BlackSuit، حيث حافظت على تقنيات التشفير، أسلوب المفاوضات، وأدوات التحكم عن بعد المستخدمة سابقًا، مما يعزز فرضية إعادة التموقع داخل مشهد التهديدات السيبرانية بعد عمليات التوقيف والمصادرة التي شلت نشاط BlackSuit.
بدأت Chaos نشاطها في فبراير 2025، معتمدة على استراتيجية “الصيد الكبير” Big Game Hunting، مستهدفة ضحايا من المؤسسات الكبيرة في الولايات المتحدة بفدية قدرها 300,000 دولار مقابل مفتاح فك التشفير وتقرير تقني مفصل عن كيفية اختراق النظام. وتعتمد هذه المجموعة تكتيك الابتزاز المزدوج، حيث تهدد بتسريب البيانات المسروقة إذا لم تُدفع الفدية، مما يضع الضحايا بين خيارين أحلاهما مر.
من الناحية التقنية، يعتمد هجوم Chaos على مزيج بين الهندسة الاجتماعية التقليدية والمتقدمة. تبدأ الهجمات برسائل سبام منخفضة الجودة ثم تتطور إلى مكالمات هاتفية (vishing) تستدرج الضحايا لتنصيب أدوات الوصول عن بعد مثل Microsoft Quick Assist، ثم AnyDesk وScreenConnect، مع استخدام أدوات نقل ملفات شرعية مثل GoodSync لسرقة البيانات. كما تُظهر البرمجية الخبيثة مستوى متقدمًا من التشفير المتعدد الخيوط (Multithreaded Encryption)، وتعطيل أدوات الأمان ومسجلات الأحداث (Event Logs)، مما يعقّد من جهود التحليل الرقمي والتعافي من الهجمات.
اللافت في الأمر أن Chaos ليست مرتبطة بمنصات بناء الفدية الأخرى التي استخدمت نفس الاسم مثل Yashma أو Lucky_Gh0$t، مما يؤكد أن استخدام الاسم قد يكون متعمدًا لبث التشويش وصرف الأنظار عن الهوية الحقيقية للمجموعة. ومع ازدياد تعقيد تقنيات التهرب والتحايل، فإن Chaos تتبنى تقنيات متقدمة للهروب من بيئات التحليل، مثل تعطيل بيئات الـ Sandbox، وتضليل أدوات الـ Debugging، والاندماج بسلاسة ضمن الأنظمة المصابة.
في سياق متصل، أعلنت السلطات الأمريكية (FBI وDoJ) عن مصادرة أكثر من 20 بيتكوين (ما يعادل 2.4 مليون دولار) من محفظة مشفرة مرتبطة بأحد أفراد Chaos المعروف باسم Hors. وتشير هذه الخطوة إلى أن التعاون الدولي في مكافحة برامج الفدية بدأ يُحقق بعض النجاح، ولو مؤقتًا، في ضرب البنية المالية للعصابات الرقمية. إلا أن هذه النجاحات لا تعني نهاية التهديد، فكل عملية تفكيك يعقبها ظهور شكل جديد من نفس التهديد، كما هو الحال مع سلسلة Conti → Royal → BlackSuit → Chaos.
في النهاية، يبرز تهديد Chaos كتجسيد جديد لطبيعة التهديدات المتطورة في فضاء الأمن السيبراني. وعلى الرغم من تراجع عدد هجمات الفدية عالميًا بنسبة 43% في الربع الثاني من 2025، إلا أن ذلك لا يعكس بالضرورة تراجعًا في خطورة التهديدات، بل تطورًا في أساليبها. فمع إعادة التشكّل المستمر لعصابات الفدية، وتبنيهم لتقنيات الهندسة الاجتماعية الدقيقة، يجب أن تتحول المواجهة من رد فعل أمني إلى مقاربات استباقية استخباراتية وتكنولوجية، تبدأ من الوعي المؤسسي إلى التصدي للهجمات في مراحلها الأولى.
