آلاء شيحه 
في اليوم العالمي لمكافحة برمجيات الفدية الموافق 12 مايو، تشارك كاسبرسكي تقريراً يعرض أبرز التحولات في مشهد هجمات برمجيات الفدية خلال عام 2025، ويكشف عن ملامح التهديدات السيبرانية المتوقعة خلال 2026. ووفقاً لبيانات شبكة كاسبرسكي الأمنية Kaspersky Security Network، سجّلت أمريكا اللاتينية أعلى نسبة للمؤسسات التي تعرضت لهجمات برمجيات الفدية المكتشفة، حيث بلغت 8.13%، وتلتها آسيا والمحيط الهادئ بنسبة 7.89%، ثم إفريقيا بنسبة 7.62%، فالشرق الأوسط بنسبة 7.27%، ورابطة الدول المستقلة بنسبة 5.91%، فيما سجلت أوروبا النسبة الأدنى والبالغة 3.82%.
وأبرز التقرير تنامي هجمات الابتزاز غير المعتمدة على التشفير، إلى جانب استخدام مجموعات الفدية لتقنيات تشفير ما بعد الكم، واستمرار توظيف قنوات تيليجرام في نشر البيانات المسربة وبيانات الاعتماد المخترقة.
رغم التراجع المحدود في إجمالي حصة المؤسسات المستهدفة بهجمات الفدية خلال 2025 مقارنة بعام 2024، إلا أن مستوى التهديد ما زال مرتفعاً، مع اعتماد المهاجمين بشكل متزايد على أتمتة أساليب الاختراق وتوسيع نطاق عملياتهم، إلى جانب التركيز على سرقة المعلومات الحساسة وتسريبها بدلاً من الاقتصار على تشفير الأنظمة.
وقد شهد عام 2025 تصاعداً ملفتاً لاستخدام ما يُعرف بأدوات تعطيل حلول الكشف والاستجابة الطرفية ((EDR Killers، وهي أدوات صُممت خصيصاً لإيقاف أنظمة الحماية الطرفية على الأجهزة قبل تشغيل البرمجيات الخبيثة نفسها.
وأصبحت هذه الأدوات عنصراً أساسياً في الهجمات الحديثة؛ مما يعكس مستوى أعلى من التنظيم والدقة في تنفيذ عمليات الاختراق.
ولاحظ الباحثون ظهور أنواع من برمجيات الفدية تستخدم معايير تشفير ما بعد الكم، وهو تطور كانت كاسبرسكي قد توقّعته سابقاً. ويُعد هذا مؤشراً مثيراً للقلق على توجه المهاجمين نحو تقنيات تشفير متقدمة قد تعيق مستقبلاً محاولات فكها عبر تقنيات الحوسبة الكمية.
كما أن نفوذ ما يُعرف بوسطاء الوصول الأولي (Initial Access Brokers) آخذ بالاتساع، وهم جهات إجرامية سيبرانية توفر إمكانية الوصول إلى الأنظمة المخترقة سابقاً وتبيعها عبر منصات ومنتديات سرية. كذلك أصبحت منصات RDWeb، التي تتيح التحكم في الأجهزة عن بُعد، ضمن الأهداف الرئيسية لمجموعات برمجيات الفدية، خاصة مع اعتماد هذه المجموعات على عمليات «الوصول كخدمة» لتسريع وتيرة الهجمات وتوسيع نطاقها. وبذلك أصبح شن هجمات الفدية أقل صعوبة وأكثر انتشاراً.
وتواصل قنوات تيليجرام ومنتديات الشبكة المظلمة أداء دورها كمراكز لبيع وتبادل البيانات المخترقة وبيانات الوصول غير المصرّح بها، بما في ذلك المعلومات التي يتم الحصول عليها عقب هجمات برمجيات الفدية. وفي يناير 2026، نجحت السلطات في الاستيلاء على منتدى RAMP، وهو أحد المنتديات البارزة التي استخدمها مجرمو الإنترنت للإعلان عن خدمات الفدية الإلكترونية ونشر التحديثات المتعلقة بها.
كما تمت مصادرة منتدى LeakBase في مارس 2026، بعد أن استُخدم لنشر البيانات المسربة والمخترقة بين الجهات الخبيثة. ومع ذلك، ورغم الجهود المتواصلة التي تبذلها جهات إنفاذ القانون لإغلاق منصات الشبكة المظلمة ومواقع تسريب بيانات الفدية، فإن ظهور منصات جديدة مشابهة يظل احتمالاً قائماً بمرور الوقت.
أشارت كاسبرسكي، استناداً إلى بيانات مواقع تسريب البيانات، إلى أن مجموعة «Qilin» تصدرت قائمة أكثر مجموعات الفدية نشاطاً في عام 2025، لتصبح أبرز الجهات العاملة ضمن نموذج «الفدية كخدمة» (RaaS)، وذلك بعد إيقاف عمليات RansomHub. وقد جاءت مجموعة «Clop» في المرتبة الثانية من حيث النشاط، تلتها مجموعة «Akira» في المركز الثالث.
في حين اختفت عدة مجموعات بارزة لبرمجيات الفدية من المشهد خلال 2025، فإن جهات تهديد جديدة تواصل الظهور. وبالنظر إلى عام 2026، تبرز مجموعة Gentlemen كواحدة من أهم الجهات الصاعدة في عالم برمجيات الفدية، نتيجة توسعها السريع، وعملياتها المنظمة، وتركيزها المتنامي على الابتزاز المرتبط بالبيانات. وتشير التقديرات إلى أن المجموعة قد تضم مهاجمين سبق لهم العمل ضمن شبكات فدية معروفة.
وتمثل Gentlemen نموذجاً للتحول المتسارع في بيئة هجمات الفدية، من العمليات التي تهدف إلى إحداث ضجة إلى نماذج أكثر احترافية واستدامة تُدار بمنهجية تجارية، مع التركيز على سرقة البيانات الحساسة، واستخدام الضغوط القانونية، والسمعة المؤسسية كأدوات ابتزاز رئيسية بدل الاعتماد الحصري على تشفير الملفات.
ويقول فابيو أسوليني، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي: »أصبحت هجمات الفدية اليوم جزءاً من منظومة متكاملة شديدة التنظيم، تعتمد على استغلال البيانات المسروقة لتحقيق الأرباح، وتعطيل أنظمة الحماية والدفاع، وتنفيذ الهجمات بوتيرة وكفاءة تشبه بيئات الأعمال الاحترافية.
كما يواصل منفذو الهجمات تطوير أساليبهم بسرعة، من خلال استخدام أدوات مشروعة لأغراض خبيثة، واستهداف البنى التحتية الخاصة بالوصول عن بُعد، بالإضافة إلى تبني تقنيات تشفير ما بعد الكم قبل سنوات مما كان متوقعاً. ويهدف اليوم العالمي لمكافحة برمجيات الفدية إلى تعزيز الوعي العالمي بحجم التهديدات المرتبطة بهذه الهجمات، وتشجيع أفضل ممارسات الوقاية والاستجابة، لذا نوصي جميع المستخدمين بتعزيز أمنهم الرقمي عبر تبني دفاعات متعددة المستويات، والاستثمار في حلول النسخ الاحتياطي، ورفع مستوى الثقافة السيبرانية للتصدي للهجمات.«
وبمناسبة اليوم العالمي لمكافحة برمجيات الفدية، تدعو كاسبرسكي المؤسسات إلى تبنّي مجموعة من أفضل الممارسات لتعزيز الحماية ضد هجمات الفدية:
• تفعيل حلول الحماية من برمجيات الفدية على جميع الأجهزة الطرفية. وتقدم كاسبرسكي أداة Anti-Ransomware Tool المجانية للأعمال، والتي توفر حماية للحواسيب والخوادم من برمجيات الفدية والبرمجيات الخبيثة الأخرى، وتمنع استغلال الثغرات، كما تعمل بسلاسة مع حلول الحماية الموجودة سابقاً داخل المؤسسة.
• تحديث جميع البرمجيات والأجهزة باستمرار، لتقليل فرص استغلال المهاجمين للثغرات الأمنية، ومهاجمة الشبكات.
• بناء نهج دفاعي يركز على كشف التحركات الجانبية داخل الشبكة ورصد أي محاولات لتسريب البيانات إلى الإنترنت، مع إجراء مراقبة دقيقة لحركة البيانات الخارجة لاكتشاف أي اتصالات مشبوهة. كما يُنصح بإعداد نسخ احتياطية غير متصلة بالشبكة لضمان عدم تعرضها للتلاعب، مع التحقق من إمكانية الوصول إليها بسرعة عند الحاجة أو في الحالات الطارئة.
• يمكن للمؤسسات غير الصناعية تعزيز جاهزيتها الأمنية من خلال نشر حلول مكافحة التهديدات المستعصية المتقدمة (Anti-APT)، وأنظمة الكشف للنقاط الطرفية والاستجابة لها (EDR)، بما يتيح اكتشاف التهديدات المتقدمة والتحقيق فيها والاستجابة لها بشكل فعّال. كما يُنصح بتمكين فرق SOC من الوصول إلى أحدث معلومات التهديدات وتطوير مهاراتهم عبر التدريب الاحترافي، وجميع هذه الإمكانيات متوفرة ضمن منصة Kaspersky Next.
