VECT 2.0: فدية مزيفة تدمّر ملفات بنوك SAMA بشكل دائم

كشف باحثو Check Point Research في تحليل نُشر نهاية أبريل 2026 خللاً تصميمياً جوهرياً في برنامج الفدية VECT 2.0 يحوّله عملياً من أداة ابتزاز إلى ماسح بيانات (Wiper) قاتل. أي ملف يتجاوز حجمه 128 كيلوبايت — وهو ما يشمل الغالبية العظمى من ملفات الأنظمة المصرفية وقواعد البيانات وصور الأقراص الافتراضية — يُدمَّر بشكل نهائي ولا يمكن استرجاعه حتى لو دفع الضحية مبلغ الفدية كاملاً واستلم أداة فك التشفير.

كيف يعمل VECT 2.0 ولماذا يستحيل فك تشفير ملفاته

VECT 2.0 برنامج فدية كخدمة (RaaS) ظهر لأول مرة في ديسمبر 2025 على منتدى روسي للجرائم السيبرانية، ومكتوب بلغة C++ ويستهدف منصات Windows و Linux وبشكل خاص مشغّلات ESXi. أصدرت العصابة النسخة الثانية في فبراير 2026 ثم أعلنت في مارس 2026 شراكة مع مجموعة TeamPCP المسؤولة عن هجمات سلسلة توريد متعددة.

يقسّم VECT 2.0 الملفات الكبيرة إلى أربع قطع، ويولّد لكل قطعة nonce عشوائياً بطول 12 بايت لاستخدامه في تشفير AES-CTR. المشكلة التصميمية: يحفظ البرنامج الـ nonce الأخير فقط ويلحقه بالملف المشفر، بينما تُولَّد الـ nonces الثلاثة الأولى وتُستخدم ثم تُتلف بصمت دون حفظها في القرص أو السجل أو إرسالها إلى المهاجم. النتيجة الرياضية واضحة: حتى لو امتلك الضحية المفتاح الرئيسي للهجوم، تبقى ثلاثة أرباع كل ملف كبير محشوة ببيانات مشفرة بمفاتيح مفقودة إلى الأبد.

ما حجم 128 كيلوبايت في سياق البنوك؟

قد يبدو الحد 128KB بسيطاً لكنه في الواقع عتبة كارثية للمؤسسات المالية. ملفات قواعد البيانات SQL Server و Oracle، صور الأقراص الافتراضية VMDK و VHDX، ملفات السجلات (Logs)، نسخ Veeam و Commvault الاحتياطية، صور Backup الوزارية، ملفات SWIFT MT و ISO 20022، وحتى ملفات Excel المالية الكبيرة — كل ذلك يفوق هذه العتبة بآلاف المرات. عملياً، 99% من الأصول الرقمية ذات القيمة في بنك سعودي تقع ضمن منطقة التدمير الدائم لـ VECT 2.0.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA

تحوّل VECT إلى ماسح بيانات يُسقط الافتراض الأساسي لكثير من خطط الاستجابة للحوادث: "ادفع الفدية كخيار أخير لاستعادة العمليات". في حالة VECT لا يوجد خيار أخير. هذا يضع ضوابط SAMA CSCC المتعلقة باستمرارية الأعمال (3.3.10) والنسخ الاحتياطي (3.3.5) في موقع الاختبار الحقيقي، حيث تصبح القدرة على الاسترداد المستقل عن الجاني (Offline Restore) خط الدفاع الوحيد. كما يفعّل ضوابط NCA ECC في الفرع الرابع (الصمود السيبراني) ومتطلبات نظام حماية البيانات الشخصية PDPL المتعلقة بإخطار سدايا عند فقدان كامل لبيانات العملاء.

الأخطر أن شراكة VECT-TeamPCP تعني توزيعاً عبر سلسلة التوريد البرمجية، أي أن البنوك السعودية قد تُصاب ليس عبر اختراق مباشر بل عبر مزود خدمة مالية فرعي أو شريك FinTech، وهو ما يضعف قدرة فرق SOC على رصد التهديد قبل تفعيله.

التوصيات والخطوات العملية للحماية والصمود

1. تطبيق قاعدة 3-2-1-1-0 للنسخ الاحتياطي: ثلاث نسخ، على وسيطين مختلفين، نسخة خارج الموقع، نسخة غير قابلة للتعديل (Immutable)، وصفر أخطاء في اختبار الاسترداد، مع اختبار شهري موثّق وفق ضابط SAMA CSCC 3.3.10.
2. فصل بيئة النسخ الاحتياطي تماماً عن الدومين الإنتاجي (Air-Gap منطقي عبر حسابات مستقلة وشبكة منفصلة)، ومنع وصول حسابات Domain Admins إلى خوادم Veeam أو Commvault.
3. تفعيل حماية ESXi المحددة: تعطيل SSH افتراضياً، تطبيق Lockdown Mode، تحديث VMware vCenter إلى آخر إصدار، ومراقبة أوامر vim-cmd vmsvc/getallvms المشبوهة عبر منصة EDR.
4. نشر قواعد YARA و Sigma الخاصة بـ VECT 2.0 المنشورة من Check Point في منصة SIEM وأدوات EDR، والتركيز على رصد عمليات تشفير عالية الإنتروبي على الملفات الكبيرة.
5. تحديث Playbook الاستجابة للحوادث ليعكس واقع VECT: لا توصية بالدفع تحت أي ظرف، تركيز كامل على عزل الانتشار وإجراء اختبار استرداد فوري من نسخ Offline.
6. إجراء تمرين Tabletop Exercise مع الإدارة العليا لمحاكاة سيناريو "هجوم لا يمكن التفاوض فيه"، بحيث تختبر الحوكمة قراراتها تحت ضغط فقدان بيانات لا رجعة فيه.
7. مراجعة عقود مزودي الخدمة الفنية والشركاء وفق ضابط TPRM في SAMA CSCC 3.3.15 للتأكد من امتلاكهم نسخاً احتياطية معزولة، خاصة شركاء FinTech الذين يديرون بيانات نيابة عن البنك.

الخلاصة

VECT 2.0 ليس مجرد سلالة فدية جديدة، بل تحوّل نوعي يكسر منطق المفاوضة الذي بُني عليه قطاع التأمين السيبراني وكثير من خطط الاستجابة. عندما يصبح الدفع غير مجدٍ تقنياً، يبقى للقدرة على الاسترداد المستقل قيمة مطلقة — وهنا يتحدد الفرق بين بنك يستأنف خدماته خلال ساعات وبين بنك يخسر ثقة عملائه إلى الأبد.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل اختبار جاهزية النسخ الاحتياطي للهجمات التدميرية وتحديد فجوات الصمود السيبراني في بيئة ESXi.