كاسبرسكي: برمجيات الفدية في 2025 أكثر تنظيمًا وتستهدف البيانات بدل التشفير فقط
أمريكا اللاتينية في صدارة المؤسسات المستهدفة
في اليوم العالمي لمكافحة برمجيات الفدية الموافق 12 مايو، تشارك كاسبرسكي تقريرًا يعرض أبرز التحولات في مشهد هجمات برمجيات الفدية خلال عام 2025، ويكشف عن ملامح التهديدات السيبرانية المتوقعة خلال 2026. ووفقًا لبيانات شبكة كاسبرسكي الأمنية Kaspersky Security Network، سجّلت أمريكا اللاتينية أعلى نسبة للمؤسسات التي تعرضت لهجمات برمجيات الفدية المكتشفة، حيث بلغت 8.13%، وتلتها آسيا والمحيط الهادئ بنسبة 7.89%، ثم إفريقيا بنسبة 7.62%، فالشرق الأوسط بنسبة 7.27%، ورابطة الدول المستقلة بنسبة 5.91%، فيما سجلت أوروبا النسبة الأدنى والبالغة 3.82%. وأبرز التقرير تنامي هجمات الابتزاز غير المعتمدة على التشفير، إلى جانب استخدام مجموعات الفدية لتقنيات تشفير ما بعد الكم، واستمرار توظيف قنوات تيليجرام في نشر البيانات المسربة وبيانات الاعتماد المخترقة.
أتمتة الاختراق وسرقة البيانات تتقدمان على التشفير
رغم التراجع المحدود في إجمالي حصة المؤسسات المستهدفة بهجمات الفدية خلال 2025 مقارنة بعام 2024، إلا أن مستوى التهديد ما زال مرتفعًا، مع اعتماد المهاجمين بشكل متزايد على أتمتة أساليب الاختراق وتوسيع نطاق عملياتهم، إلى جانب التركيز على سرقة المعلومات الحساسة وتسريبها بدلًا من الاقتصار على تشفير الأنظمة.
صعود أدوات EDR Killers لتعطيل الحماية
شهد عام 2025 تصاعدًا ملفتًا لاستخدام ما يُعرف بأدوات تعطيل حلول الكشف والاستجابة الطرفية EDR Killers، وهي أدوات صُممت خصيصًا لإيقاف أنظمة الحماية الطرفية على الأجهزة قبل تشغيل البرمجيات الخبيثة نفسها. وأصبحت هذه الأدوات عنصرًا أساسيًا في الهجمات الحديثة؛ مما يعكس مستوى أعلى من التنظيم والدقة في تنفيذ عمليات الاختراق.
تشفير ما بعد الكم يدخل هجمات الفدية
لاحظ الباحثون ظهور أنواع من برمجيات الفدية تستخدم معايير تشفير ما بعد الكم، وهو تطور كانت كاسبرسكي قد توقّعته سابقًا. ويُعد هذا مؤشرًا مثيرًا للقلق على توجه المهاجمين نحو تقنيات تشفير متقدمة قد تعيق مستقبلًا محاولات فكها عبر تقنيات الحوسبة الكمية.
اتساع نفوذ وسطاء الوصول الأولي ومنصات RDWeb
كما أن نفوذ ما يُعرف بوسطاء الوصول الأولي Initial Access Brokers آخذ بالاتساع، وهم جهات إجرامية سيبرانية توفر إمكانية الوصول إلى الأنظمة المخترقة سابقًا وتبيعها عبر منصات ومنتديات سرية. كذلك أصبحت منصات RDWeb، التي تتيح التحكم في الأجهزة عن بُعد، ضمن الأهداف الرئيسية لمجموعات برمجيات الفدية، خاصة مع اعتماد هذه المجموعات على عمليات «الوصول كخدمة» لتسريع وتيرة الهجمات وتوسيع نطاقها. وبذلك أصبح شن هجمات الفدية أقل صعوبة وأكثر انتشارًا.
تيليجرام والشبكة المظلمة مراكز لتبادل البيانات المسربة
تواصل قنوات تيليجرام ومنتديات الشبكة المظلمة أداء دورها كمراكز لبيع وتبادل البيانات المخترقة وبيانات الوصول غير المصرّح بها، بما في ذلك المعلومات التي يتم الحصول عليها عقب هجمات برمجيات الفدية. وفي يناير 2026، نجحت السلطات في الاستيلاء على منتدى RAMP، وهو أحد المنتديات البارزة التي استخدمها مجرمو الإنترنت للإعلان عن خدمات الفدية الإلكترونية ونشر التحديثات المتعلقة بها. كما تمت مصادرة منتدى LeakBase في مارس 2026، بعد أن استُخدم لنشر البيانات المسربة والمخترقة بين الجهات الخبيثة. ومع ذلك، ورغم الجهود المتواصلة التي تبذلها جهات إنفاذ القانون لإغلاق منصات الشبكة المظلمة ومواقع تسريب بيانات الفدية، فإن ظهور منصات جديدة مشابهة يظل احتمالًا قائمًا بمرور الوقت.
Qilin تتصدر المجموعات الأكثر نشاطًا
أشارت كاسبرسكي، استنادًا إلى بيانات مواقع تسريب البيانات، إلى أن مجموعة «Qilin» تصدرت قائمة أكثر مجموعات الفدية نشاطًا في عام 2025، لتصبح أبرز الجهات العاملة ضمن نموذج «الفدية كخدمة» RaaS، وذلك بعد إيقاف عمليات RansomHub. وقد جاءت مجموعة «Clop» في المرتبة الثانية من حيث النشاط، تلتها مجموعة «Akira» في المركز الثالث.
Gentlemen نموذج جديد للابتزاز بالبيانات
في حين اختفت عدة مجموعات بارزة لبرمجيات الفدية من المشهد خلال 2025، فإن جهات تهديد جديدة تواصل الظهور. وبالنظر إلى عام 2026، تبرز مجموعة Gentlemen كواحدة من أهم الجهات الصاعدة في عالم برمجيات الفدية، نتيجة توسعها السريع، وعملياتها المنظمة، وتركيزها المتنامي على الابتزاز المرتبط بالبيانات. وتشير التقديرات إلى أن المجموعة قد تضم مهاجمين سبق لهم العمل ضمن شبكات فدية معروفة. وتمثل Gentlemen نموذجًا للتحول المتسارع في بيئة هجمات الفدية، من العمليات التي تهدف إلى إحداث ضجة إلى نماذج أكثر احترافية واستدامة تُدار بمنهجية تجارية، مع التركيز على سرقة البيانات الحساسة، واستخدام الضغوط القانونية، والسمعة المؤسسية كأدوات ابتزاز رئيسية بدل الاعتماد الحصري على تشفير الملفات.
خبير كاسبرسكي: هجمات الفدية منظومة متكاملة
يقول فابيو أسوليني، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي: "أصبحت هجمات الفدية اليوم جزءًا من منظومة متكاملة شديدة التنظيم، تعتمد على استغلال البيانات المسروقة لتحقيق الأرباح، وتعطيل أنظمة الحماية والدفاع، وتنفيذ الهجمات بوتيرة وكفاءة تشبه بيئات الأعمال الاحترافية. كما يواصل منفذو الهجمات تطوير أساليبهم بسرعة، من خلال استخدام أدوات مشروعة لأغراض خبيثة، واستهداف البنى التحتية الخاصة بالوصول عن بُعد، بالإضافة إلى تبني تقنيات تشفير ما بعد الكم قبل سنوات مما كان متوقعًا. ويهدف اليوم العالمي لمكافحة برمجيات الفدية إلى تعزيز الوعي العالمي بحجم التهديدات المرتبطة بهذه الهجمات، وتشجيع أفضل ممارسات الوقاية والاستجابة، لذا نوصي جميع المستخدمين بتعزيز أمنهم الرقمي عبر تبني دفاعات متعددة المستويات، والاستثمار في حلول النسخ الاحتياطي، ورفع مستوى الثقافة السيبرانية للتصدي للهجمات."
توصيات كاسبرسكي للحماية من الفدية
بمناسبة اليوم العالمي لمكافحة برمجيات الفدية، تدعو كاسبرسكي المؤسسات إلى تبنّي مجموعة من أفضل الممارسات لتعزيز الحماية ضد هجمات الفدية:
تفعيل حلول الحماية من برمجيات الفدية على جميع الأجهزة الطرفية. وتقدم كاسبرسكي أداة Anti-Ransomware Tool المجانية للأعمال، والتي توفر حماية للحواسيب والخوادم من برمجيات الفدية والبرمجيات الخبيثة الأخرى، وتمنع استغلال الثغرات، كما تعمل بسلاسة مع حلول الحماية الموجودة سابقًا داخل المؤسسة.
تحديث جميع البرمجيات والأجهزة باستمرار، لتقليل فرص استغلال المهاجمين للثغرات الأمنية، ومهاجمة الشبكات.
بناء نهج دفاعي يركز على كشف التحركات الجانبية داخل الشبكة ورصد أي محاولات لتسريب البيانات إلى الإنترنت، مع إجراء مراقبة دقيقة لحركة البيانات الخارجة لاكتشاف أي اتصالات مشبوهة. كما يُنصح بإعداد نسخ احتياطية غير متصلة بالشبكة لضمان عدم تعرضها للتلاعب، مع التحقق من إمكانية الوصول إليها بسرعة عند الحاجة أو في الحالات الطارئة.
يمكن للمؤسسات غير الصناعية تعزيز جاهزيتها الأمنية من خلال نشر حلول مكافحة التهديدات المستعصية المتقدمة Anti-APT، وأنظمة الكشف للنقاط الطرفية والاستجابة لها EDR، بما يتيح اكتشاف التهديدات المتقدمة والتحقيق فيها والاستجابة لها بشكل فعّال. كما يُنصح بتمكين فرق SOC من الوصول إلى أحدث معلومات التهديدات وتطوير مهاراتهم عبر التدريب الاحترافي، وجميع هذه الإمكانيات متوفرة ضمن منصة Kaspersky Next.
التقرير الكامل متاح على Securelist.
.jpg)
