تخطي إلى المحتوى الرئيسي

Ransomware.live: دليلك الشامل لرصد وتتبع هجمات برامج الفدية عالميًا

كتبه Mostafa وضمن . نشر على cyber-security، hacking، Ransomware.

موقع Ransomware.live هو منصة مجانية لمتابعة ورصد هجمات برامج الفدية

الخلاصة السريعة

موقع Ransomware.live هو منصة مجانية لمتابعة ورصد هجمات برامج الفدية (Ransomware) على مستوى العالم. يراقب تلقائيًا مواقع تسريب البيانات الخاصة بمجموعات الفدية، ويقدّم لك:

  • قائمة محدّثة بالضحايا والشركات/المؤسسات المستهدفة.
  • إحصائيات وخرائط تفاعلية حسب الدولة والقطاع والمجموعة.
  • معلومات تقنية عن كل مجموعة فدية (رسائل الفدية، قواعد YARA، مؤشرات اختراق IoC، مصفوفة TTPs).
  • سجلات محادثات التفاوض مع مجموعات الفدية.
  • تنبيهات آنية عبر تطبيق ntfy، وواجهة API لدمج البيانات في أنظمتك.

الموقع موجه لمتخصصي الأمن السيبراني، الباحثين، الصحفيين، وفرق الاستجابة للحوادث، ولا يستضيف أي بيانات مسربة، بل يعتمد فقط على ما هو منشور علنًا على مواقع الفدية ومصادر مفتوحة.【turn1fetch0】

ما هو Ransomware.live باختصار؟

  • منصة استخبارات تهديدات (Threat Intelligence) مجانية ومستقلة، تتابع مجموعات الفدية وضحاياها عالميًا.【turn1fetch0】
  • يعتمد على مراقبة تلقائية لمواقع تسريب البيانات الخاصة بمجموعات الفدية (Data Leak Sites) والمصادر المفتوحة والصحافة.【turn1fetch0】
  • لا يوجد جدار حماية (Paywall) ولا إعلانات، ولا يتبع لأي شركة؛ هو مشروع شخصي لـ Julien Mousqueton، باحث أمني يعمل كـ Field CISO EMEA في Cohesity.【turn1fetch0】
  • لا يوزّع أي بيانات مسربة، ولا يشجّع على الجريمة الإلكترونية؛ هدفه الشفافية والتوعية فقط.【turn1fetch0】

صورة عامة لمكونات الموقع

mindmap
  root((Ransomware.live))
    رصد الضحايا
      قائمة الضحايا (Victims)
      خريطة عالمية (Worldmap)
      إحصائيات (Statistics)
    معلومات عن المجموعات
      صفحة المجموعات (Groups)
      رسائل الفدية (Ransom Notes)
      قواعد YARA
      مؤشرات الاختراق IoC
      مصفوفة TTPs (MITRE ATT&CK)
    محادثات التفاوض
      سجلات محادثات (Negotiations)
    خدمات للمستخدمين
      تنبيهات آنية (Notifications)
      واجهة API
      صفحة الصحافة (Press)
      RSS وبيانات JSON

شرح أقسام الموقع وخدماته بالتفصيل

1. رصد الضحايا والهجمات

أ) قائمة الضحايا (Victims)

  • في الصفحة الرئيسية يعرض أحدث 100 ضحية تم الإعلان عنهم على مواقع الفدية.【turn1fetch1】
  • لكل ضحية تجد:
    • اسم المنظمة / الموقع الرسمي.
    • تاريخ الاكتشاف وتاريخ الهجوم التقريبي.
    • اسم مجموعة الفدية المسؤولة.
    • أيقونات توضح:
      • توفر لقطة شاشة (Screenshot available).
      • موقع الشركة (Company website).
      • وجود بيانات InfoStealer مرتبطة.
      • إنكار الضحية للهجوم (Victim has denied).
      • معرفة مبلغ الفدية (Ransom amount known).
      • معرفة حجم التسريب (Leak size known).
      • وجود ادعاء مكرّر (Duplicate claim detected).
      • وجود تغطية صحفية للحادثة.【turn1fetch1】
  • يعرض أيضًا القطاع (Manufacturing, Healthcare, Education, …) والبلد.

ب) خريطة العالم (Worldmap)

  • صفحة Ransomware Victims by Country تعرض خريطة تفاعلية لعدد الضحايا حسب الدولة.【turn2click1】
  • يمكنك اختيار سنة (2023–2026) أو عرض الخريطة الكاملة.
  • الدول تلوّن حسب عدد الضحايا:
    • Low (1–99)
    • Medium (100–199)
    • High (200+)【turn2click1】

ج) الإحصائيات (Statistics)

  • صفحة Ransomware Statistics تعرض:
    • إجمالي الضحايا لكل سنة.
    • عدد المجموعات النشطة.
    • أعلى 10 مجموعات فدية من حيث عدد الضحايا.
    • عدد الضحايا شهريًا من 2023 حتى 2026.
    • أعلى 10 قطاعات مستهدفة.
    • أعلى 10 دول مستهدفة.
    • توزيع القطاعات شهريًا كنسبة مئوية.【turn2click0】

2. معلومات تقنية عن مجموعات الفدية

أ) صفحة المجموعات (Groups)

  • تعرض قائمة كبيرة بمجموعات الفدية (Akira, LockBit, BlackCat/ALPHV, …) مع:
    • تاريخ الإضافة.
    • تاريخ آخر ضحية.
    • وصف مختصر للمجموعة.
    • عدد الضحايا.
    • حالة المجموعة (Online/Offline).【turn2click2】
  • لكل مجموعة علامات توضح:
    • هل لديها رسائل فدية (Ransom notes).
    • هل لديها أدوات مستخدمة (Tools used).
    • هل لديها ثغرات مستغلة (Vulnerabilities exploited).
    • هل لديها محادثات تفاوض (Negotiation chat).
    • هل لديها قواعد YARA.
    • هل لديها TTPs حسب MITRE ATT&CK.【turn2click2】

ب) رسائل الفدية (Ransom Notes)

  • صفحة Ransom Notes by Group تعرض نماذج نصية لملفات readme ورسائل الفدية التي تتركها المجموعات على أنظمة الضحايا.【turn2click4】
  • لكل مجموعة:
    • عدة نماذج (مثلاً لـ Akira عدة ملفات نصية تشرح طريقة الدفع والتواصل).
    • يمكن تحميلها أو قراءتها مباشرة لفهم أسلوب المجموعة في التهديد والضغط.

ج) قواعد YARA

  • صفحة YARA Rules by Group توفر قواعد YARA للعديد من مجموعات الفدية (Akira, LockBit, BlackCat, …) لاكتشاف ملفات الفدية في الأنظمة.【turn3click0】
  • هذه القواعد مفيدة لـ:
    • فرق SOC/DFIR لعمل signatures في أنظمة الكشف.
    • الباحثين لتحليل عينات جديدة.

د) مؤشرات الاختراق IoC

  • صفحة Indicators of Compromise (IoC) by Group تعرض:
    • مفاتيح MD5 وSHA256 للملفات التنفيذية أو الملفات المشفرة.
    • عناوين Bitcoin (BTC) المستخدمة في تحصيل الفدية.
    • أنواع أخرى من المؤشرات حسب المجموعة.【turn3click2】
  • يمكن استخدامها في:
    • SIEM / EDR لعمل قواعد كشف.
      -.blocklist في الأنظمة أو على مستوى الشبكة.

هـ) مصفوفة TTPs (MITRE ATT&CK)

  • صفحة ATT&CK Techniques Matrix تعرض لكل مجموعة تقنيات الهجوم وفق إطار MITRE ATT&CK:
    • Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Impact.【turn3click1】
  • تساعدك على:
    • فهم طريقة عمل المجموعة.
    • تصميم خطة دفاع ومراقبة (Detection & Response) مناسبة.

3. محادثات التفاوض (Negotiations)

  • صفحة Negotiation Chats تعرض سجلات محادثات حقيقية (أو مُفبركة جزئيًا لأغراض التوعية) بين ضحايا ومجموعات الفدية، مقدمة من الباحث Valéry Marchive وJulien Mousqueton.【turn2click3】
  • لكل محادثة:
    • اسم المجموعة.
    • تاريخ المحادثة.
    • عدد الرسائل.
    • المبلغ المطلوب مبدئيًا (Initial ransom).
    • المبلغ النهائي المتفق عليه (Final ransom) إن وُجد.【turn2click3】
  • هذه السجلات مفيدة لـ:
    • فهم أسلوب التفاوض والضغط النفسي والمالي.
    • معرفة كيفية التعامل مع مفاوضات الفدية إن اضطررت لذلك.

4. خدمات التنبيهات والـ API

أ) التنبيهات الفورية (Notifications)

  • صفحة Real-Time Ransomware Alerts تشرح كيفية الاشتراك في تنبيهات مجانية عبر تطبيق ntfy:
    1. تثبيت تطبيق ntfy على iOS أو Android أو F-Droid.
    2. ضبط Base URL إلى: https://push.ransomware.live
    3. الاشتراك في مواضيع (Topics) مختلفة:
      • victims → تنبيه لكل ضحية جديدة.
      • country_<country_code> → تنبيهات حسب الدولة (مثلاً country_us للولايات المتحدة).
      • sector_<sector_name> → تنبيهات حسب القطاع (مثلاً sector_healthcare).【turn4click0】
  • الخصوصية:
    • لا تحتاج إلى حساب أو بيانات شخصية.
    • الاتصال مشفر عبر HTTPS.
    • يمكنك إلغاء الاشتراك في أي وقت.【turn4click0】

ب) واجهة برمجة التطبيقات API

  • صفحة API Comparison تقدّم ثلاثة أنواع من الـ API:
    1. API v1
      • Deprecated (مهمل)، يُستخدم للتوافق القديم فقط.
    2. API v2
      • مجاني، بدون توثيق (لا API key).
      • محدود في عدد الطلبات (Rate limited).
      • للاستخدام الشخصي فقط.
    3. API PRO
      • مجاني للأبد، لكنه يتطلب API key.
      • يسمح بـ 3000 طلب/يوم، مع burst allowed.
      • يقدّم لوحة تحكم (Dashboard) وميزات أكثر.
      • مناسب للاستخدام المهني والشركات بعد قراءة الشروط.
    4. API PRO+
      • قيد التطوير، سيوفر ميزات إضافية وتحليلات.【turn4click1】
  • يمكن استخدام الـ API لـ:
    • سحب بيانات الضحايا أو المجموعات إلى SIEM أو منصة Threat Intelligence.
    • بناء لوحات تحكم مخصصة (Dashboards).

ج) RSS وبيانات JSON

  • من صفحة About:
    • RSS feed لتحديثات الضحايا في الوقت الحقيقي.
    • JSON data عبر data.ransomware.live.
    • Public API لدمج البيانات في أدواتك.【turn1fetch0】

5. صفحة الصحافة والتقارير (Press)

  • صفحة Press Coverage تعرض تغطية صحفية لهجمات فدية حقيقية، مقدمة من Valéry Marchive من Le Mag IT / TechTarget.【turn5click0】
  • تحتوي على:
    • ملخصات بالفرنسية/الإنجليزية لحوادث مهمة (مدارس، مستشفيات، شركات، قطاع عام).
    • روابط “Read more” للمقالات الكاملة.
    • أحيانًا بيانات إضافية مثل عدد الموظفين المتأثرين أو بيانات InfoStealer من Hudson Rock.【turn5click0】
  • مفيدة لـ:
    • الصحفيين لمتابعة أحدث الهجمات.
    • الباحثين لدراسة أنماط الهجمات وتأثيرها.

6. Legal & Disclaimer

  • الموقع يؤكد بوضوح في صفحة Legal:
    • لا يستضيف أو يوزّع أي بيانات مسربة.
    • يعتمد فقط على:
      • الإعلانات العلنية لمجموعات الفدية على مواقع تسريب البيانات.
      • المصادر المفتوحة والأبحاث الأمنية.
      • التقارير الصحفية والحوادث المعلنة رسميًا.【turn1fetch0】
    • لا يشجّع على الجريمة الإلكترونية؛ هدفه الشفافية والتوعية.
    • يمكن التواصل معهم عبر [email protected] إذا كان هناك خطأ أو مشكلة خصوصية.【turn1fetch0】

لمن يفيد هذا الموقع؟

  • فرق الأمن السيبراني (SOC / IR / Threat Intel):
    • متابعة نشاط مجموعات الفدية.
    • استخراج IoCs وYARA وTTPs لتعزيز الكشف والاستجابة.
  • الباحثون والأكاديميون:
    • دراسة تطور هجمات الفدية، القطاعات الأكثر استهدافًا، الدول الأكثر تأثرًا.
  • الصحفيون والجهات التنظيمية:
    • الحصول على بيانات موثوقة عن الهجمات وتأثيرها.
  • الشركات والمؤسسات:
    • معرفة إذا كانت هناك هجمات جديدة في نفس القطاع أو المنطقة الجغرافية.
    • بناء خطط دفاع بناءً على أنماط المجموعات النشطة.

ملخص سريع للاستخدام العملي

  • لو أنك:
    • مختبر اختراق / باحث أمن: استخدم Groups + IoC + YARA + TTPs لفهم مجموعات الفدية وبناء أدوات كشف.
    • مسؤول SOC/DFIR: استخدم Victims + Statistics + Worldmap لمعرفة الاتجاهات، وIoC/YARA لعمل signatures.
    • صحفي أو باحث: استخدم Press + Statistics + Negotiations لفهم أبعاد الهجمات وتقديم تقارير موضوعية.
    • مستخدم عادي مهتم بالأمن: يمكنك الاكتفاء بقراءة الصفحة الرئيسية والإحصائيات لمعرفة حجم المشكلة، وربما الاشتراك في تنبيهات عامة عبر ntfy.

Ransomware, Ransomware.live, أمن المعلومات, أمن سيبراني, استخبارات التهديدات, برامج الفدية, تسريب البيانات, حماية البيانات, رانسوموير, مجموعات الفدية, مراقبة التهديدات

اترك تعليقاً