الاقتصاد السيبراني يتجه نحو الابتزاز المباشر للبيانات

تُظهر تقارير حديثة صادرة عن مجموعة Google Threat Intelligence Group تحولاً ملحوظاً في استراتيجيات مجرمي الإنترنت، حيث تتجه مجموعات القرصنة بشكل متزايد نحو “ابتزاز سرقة البيانات” كبديل أو كمكمل لهجمات برامج الفدية التقليدية التي تعتمد على تشفير الأنظمة.

تشير هذه التقارير، التي تم الكشف عنها ضمن تحليل معمق لاتجاهات الأمن السيبراني، إلى أن الجهات الفاعلة في الفضاء الرقمي تركز حالياً بشكل كبير على استغلال البيانات المسروقة لابتزاز الضحايا، مع تراجع نسبي في النماذج التي تعتمد بشكل أساسي على التشفير.

ابتزاز سرقة البيانات يكتسب زخماً في عالم الأمن السيبراني

أفادت جينيفيف ستارك، رئيسة استخبارات الجرائم السيبرانية في Google Threat Intelligence Group، في تصريحات خاصة، بأن الجهات الفاعلة في السوق السوداء الناطقة باللغة الإنجليزية باتت تركز بصورة شبه كاملة على ابتزاز سرقة البيانات. وهذا يشمل مجموعات معروفة مثل Scattered Spider و ShinyHunters و Clop، التي وقفت وراء بعض أكبر الهجمات وأكثرها انتشاراً في السنوات الأخيرة.

من جهة أخرى، لم تختفِ هجمات برامج الفدية التقليدية التي تتضمن تشفير الأنظمة، لكن الزخم يتجه نحو الأساليب الجديدة. وبحسب تقرير Google، فإن سرقة البيانات أصبحت عنصراً مصاحباً في 77% من اختراقات برامج الفدية التي لوحظت العام الماضي، مقارنة بـ 57% في عام 2024، وإن كان ذلك لا يُصنف تقنياً كـ “برنامج فدية” ما لم يكن التشفير عنصراً أساسياً.

وأكد باحثون في التقرير أن التحقيق في الاختراقات كشف عن تراجع في استخدام برامج الفدية التقليدية بالتزامن مع ارتفاع في حالات ابتزاز سرقة البيانات. وأشار التقرير إلى أن بعض برامج “برنامج الفدية كخدمة” (Ransomware-as-a-service) باتت تقدم خيارات مخصصة لابتزاز البيانات فقط، مما يعكس طلباً متزايداً من قواعد عملائها.

تحديات قياس التأثير الحقيقي لبرامج الفدية

على الرغم من هذه الاتجاهات، تواجه الصناعة تحديات كبيرة في توفير صورة واضحة وشاملة لحجم وتأثير هجمات برامج الفدية الحقيقي. يعتمد الفهم الحالي إلى حد كبير على ما تراه شركات الاستجابة للحوادث فرادى، والمعلومات المشتركة غالباً ما تكون على أساس كل حالة على حدة بدلاً من تجميعها بطريقة مركزية.

وأضافت ستارك: “نحن كصناعة لا نقوم بعمل كبير في النظر إلى الحجم الإجمالي. أعتقد أننا نعتمد بشكل مفرط على أشياء مثل حجم مواقع تسريب البيانات، والتي لديها الكثير من المشاكل”.

تشير الزيادة في ابتزاز البيانات على الأرجح إلى زيادة في هذه المنشورات. وفي الوقت نفسه، تقوم بعض مجموعات التهديد بنشر ادعاءات غير موثوقة أو إعادة تدوير اختراقات سابقة وادعاء أنها من عملهم. “مواقع تسريب البيانات كمقياس هي أداء ضعيف في الواقع، وأعتقد أننا كصناعة اعتمدنا عليها بشكل مفرط”، بحسب ستارك.

ومع ذلك، لا تزال البيانات مفيدة لتقييم اتجاهات معينة، مثل التحولات في الاستهداف أو زيادة الهجمات المزعومة على قطاعات أو مناطق محددة، وفقًا للباحثين.

وبالمقارنة، ذكرت Google أن عدد المنشورات على مواقع تسريب البيانات قفز بنسبة 48% عن العام السابق ليصل إلى 7,784 منشورًا في عام 2025. وفي الوقت نفسه، ارتفع عدد مواقع تسريب البيانات الفريدة بنسبة 35% تقريباً خلال نفس الفترة ليصل إلى 128 موقعًا يحتوي على منشور واحد على الأقل.

الأسباب الشائعة للاختراق والتركيز على البنية التحتية الافتراضية

يركز تقرير Google أيضاً على التكتيكات والتحولات التي لوحظت خلال استجابته لهجمات برامج الفدية العام الماضي، بما في ذلك الطرق الأكثر شيوعاً التي اخترق بها المهاجمون الأنظمة، وعائلات برامج الفدية الأبرز، وزيادة استهداف البنية التحتية الافتراضية.

كانت الثغرات المستغلة هي المتجه الرئيسي للوصول الأولي في هجمات برامج الفدية العام الماضي، حيث شكلت ثلث جميع الحوادث، تليها أشكال مختلفة من اختراق الويب وبيانات الاعتماد المسروقة. واستغل المهاجمون الثغرات في الشبكات الخاصة الافتراضية وجدران الحماية المستخدمة على نطاق واسع من Fortinet و SonicWall و Palo Alto Networks و Citrix، وفقًا للباحثين.

أوضح زاك ريدل، محلل استخبارات التهديدات الرئيسي في GTIG، أن هذا لا يعكس اتجاهًا متناميًا بقدر ما يعكس دورة متكررة من نواقل الوصول الأولية المختلفة، والتي ترتفع وتنخفض سنة بعد سنة لأسباب متنوعة.

حددت Google على وجه التحديد 13 ثغرة أمنية، تم الكشف عن العديد منها منذ سنوات، حيث صنفت هذه العيوب ضمن الثغرات الأكثر استغلالاً في هجمات برامج الفدية العام الماضي. تؤثر ثلاث من هذه الثغرات على منتجات Fortinet، تليها اثنتان من Microsoft، واثنتان من Veritas، وواحدة من كل من SonicWall و Citrix و SAP و Palo Alto Networks و CrushFTP و Zoho.

شكلت بيانات الاعتماد المسروقة نقطة الوصول الأولية في 21% من اختراقات برامج الفدية العام الماضي، وغالباً ما استخدم المهاجمون هذه الاعتمادات للمصادقة على تسجيل دخول VPN أو بروتوكول سطح المكتب البعيد للضحية، وفقًا لتقرير Google.

يواجه المهاجمون أيضًا المزيد من التحديات في نشر برامج الفدية بمجرد اختراق شبكات الضحايا. “نحن نشهد فعليًا انخفاضًا في نشر برامج الفدية الناجح”، بحسب بافي سادايابان، محلل استخبارات التهديدات البارز في GTIG. ولوحظ انخفاض سنوي من 54% في عام 2024 إلى 36% العام الماضي.

يشمل التغيير البارز الآخر الذي انعكس في نشاط برامج الفدية في عام 2025 زيادة استهداف البنية التحتية الافتراضية، مثل أنظمة VMware ESXi الفائقة. استهدف المهاجمون هذه البيئات في 43% من اختراقات برامج الفدية العام الماضي، بزيادة من 29% في عام 2024.

وأضاف لينكليتر: “يسمح ذلك للمهاجم بإصابة عدد كبير من الأنظمة بأقل جهد ممكن”، مضيفًا أن “ذلك يجعل التحقيق أصعب بكثير، لأن الكثير من الأدلة الجنائية تُفقد عندما تُهاجم هذه الأنظمة الفائقة”.

شملت أبرز عائلات برامج الفدية في عام 2025 Agenda و Redbike و Clop و Playcrypt و Safepay, Inc و RansomHub و Fireflame، وفقًا لـ Google. وشملت العلامات التجارية الأكثر نشاطًا لبرامج الفدية العام الماضي Qilin و Akira و Clop و Play و Safepay, Inc و Lynx و RansomHub و DragonForce و Sinobi.