رصد الباحثون في الأمن السيبراني تصعيداً خطيراً ومتطوراً في تكتيكات برمجيات الفدية الخبيثة. حيث بدأت الجهات الخبيفة وراء عائلتي برمجيات الفدية المعروفتين باسم "كيلين" (Qilin) و"وارلوك" (Warlock) باستغلال برامج تشغيل نظامية (Kernel-Mode Drivers) مشروعة ولكنها تحتوي على ثغرات أمنية، وذلك لتعطيل برامج الكشف والاستجابة لنقاط النهاية (EDR) ومضادات الفيروسات (AV) على الأنظمة المستهدفة. تُعرف هذه التقنية باسم "جلب برنامج التشغيل المعيب الخاص بك" (BYOVD)، وتسمح للبرمجيات الخبيثة بالحصول على أعلى مستوى من الصلاحيات داخل نظام تشغيل ويندوز. بمجرد الوصول إلى مستوى النواة، يمكن لبرمجية الفدية العبث مباشرة بأدوات الأمان، مما يعميها بشكل فعال قبل نشر حمولتها المشفرة للملفات. يمثل هذا هجوماً مباشراً على البنية التحتية الأمنية الأساسية للمؤسسات، متجاوزاً التلاعب في مساحة المستخدم لمهاجمة قلب نظام التشغيل نفسه.
لوحظ أن الحملات تستغل برامج تشغيل ذات عيوب أمنية معروفة، يتم الحصول عليها غالباً من شركات تصنيع أجهزة مشروعة. يتم تسليح برامج التشغيل هذه، الموقعة والموثوقة من قبل نظام ويندوز، لتحميل شفرة خبيثة داخل النواة. ويشير المحللون الأمنيون إلى أن حمولات برمجيات الفدية تتضمن وظائف مصممة لتعطيل أو إلغاء تثبيت أكثر من 300 منتج مختلف من منتجات ER وAV. القائمة واسعة النطاق، وتستهدف حلولاً من بائعين كبار مثل كراود سترايك ومايكروسوفت ديفيندر وسينتينل ون وسوفوس، среди многих آخرين. من خلال تحييد هذه الدفاعات، يضمن المهاجمون أن عملية التشفير تستمر دون عوائق، مما يزيد بشكل كبير من احتمالية نجاح نشر برمجية الفدية والابتزاز اللاحق.
يمثل هذا التحول إلى هجمات BYOVD نضجاً في نظام برمجيات الفدية الخبيثة، حيث يستثمر الخصوم موارد كبيرة للتغلب على تقنيات الدفاع المتقدمة. ويؤكد على نقطة ضعف حرجة في النموذج الأمني التقليدي: الثقة المتأصلة في برامج تشغيل النواة الموقعة. بينما نفذت مايكروسوفت إجراءات مثل "قائمة حظر برامج التشغيل" من خلال عنصر تحكم تطبيق مدافع ويندوز ونزاهة التعليمات البرمجية المحمية بواسطة Hypervisor (HVCI)، إلا أن العديد من المنظمات لم تنشر هذه التخفيفات بشكل كامل. يظهر نجاح هجمات "كيلين" و"وارلوك" أنه دون هذه التدابير التعزيزية، يمكن حتى لأدوات EDR المتقدمة أن تصبح عديمة الفائدة أمام هجوم يتمتع بصلاحيات كافية.
للدفاع ضد هذا التهديد المتزايد، يجب على المؤسسات اعتماد استراتيجية أمنية متعددة الطبقات تتجاوز حماية نقاط النهاية التقليدية. تتضمن التوصيات الحرجة فرض سياسات صارمة على تثبيت برامج التشغيل، واستخدام قائمة حظر برامج التشغيل المعيبة من مايكروسوفت، وتمكين ميزات الأمان مثل HVCI في ويندوز 11 وويندوز 10. علاوة على ذلك، يعد نشر أدوات مخصصة لملاحقة التهديدات يمكنها اكتشاف الأنشطة غير الطبيعية على مستوى النواة، وتنفيذ قوائم السماح القوية للتحكم في التطبيقات، خطوات أساسية. يخدم هذا الحادث كتذكير صارخ بأنه في الأمن السيبراني الحديث، فإن نزاهة النواة هي الحدود النهائية، ويجب أن تكون حمايتها أولوية قصوى لأي منظمة تسعى لمقاومة تهديد برمجيات الفدية المتطور.
