شهد الربع الثالث من عام 2025 زيادة قياسية في عدد مجموعات برامج الفدية التخريبية النشطة، حيث بلغ 85 مجموعة، مما يشير إلى بيئة أكثر تجزئة وتشتتاً في هذا المجال. ويعكس هذا الرقم، الذي سجلته شركة “تشيك بوينت ريسيرش”، تحولاً جوهرياً في طبيعة الهجمات السيبرانية.
وقد نشرت هذه المجموعات بيانات 1,590 ضحية عبر 85 موقع تسريب، مما يدل على استمرار النشاط المرتفع على الرغم من ضغوط إنفاذ القانون. وقد ظهرت 14 علامة تجارية جديدة لبرامج الفدية خلال هذه الفترة، مما يؤكد سرعة إعادة تشكيل الجهات الفاعلة بعد تفكيك العمليات.
85 مجموعة برامج فدية ناشطة: سوق متزايد التجزئة
أظهر التقرير أن النظام البيئي لبرامج الفدية أصبح أكثر تجزئة من أي وقت مضى، مع وجود 85 مجموعة نشطة خلال الربع الثالث من عام 2025. وقد شهد هذا العدد زيادة مستمرة، مما يدل على صعوبة السيطرة الكاملة على هذه التهديدات المتنامية.
وبالمقارنة مع الأرباع السابقة، تضاءلت حصة أكبر عشر مجموعات من إجمالي الضحايا إلى 56% فقط، مقابل 71% في وقت سابق من العام. وهذا يعكس صعود عدد كبير من الجهات الفاعلة الأصغر حجماً والتي تعمل خارج التسلسلات الهرمية التقليدية لخدمة برامج الفدية (RaaS).
ومع ذلك، فإن هذا التجزئة لا تعني بالضرورة انخفاضاً في التأثير. فالقلق يكمن في أن الشركاء أو الجهات المتحالفة بعد تفكيك مجموعات كبيرة، يعيدون تشكيل أنفسهم بسرعة ضمن مجموعات أصغر، مما يجعل تتبعهم ورصدهم أكثر صعوبة.
تأثير محدود لجهود إنفاذ القانون
على الرغم من الجهود المبذولة من قبل سلطات إنفاذ القانون لتفكيك عمليات كبرى مثل “رانسوم هب” و”8Base”، إلا أن تأثيرها على حجم هجمات برامج الفدية كان محدوداً. فغالباً ما تقتصر هذه الضربات على البنية التحتية أو الاستيلاء على النطاقات، بينما يواصل شركاء الهجوم أعمالهم، متحولين إلى علامات تجارية جديدة أو مشغلين مستقلين.
هذه الظاهر تشبه إلى حد كبير طبيعة عمل التمويل اللامركزي أو المجتمعات مفتوحة المصدر، حيث تنتشر الجهود وتستمر في الظهور بأشكال جديدة. إن طبيعة هذه الهجمات المتفرقة تجعل من الصعب بناء استخبارات موثوقة بناءً على السمعة أو تتبع سلوكيات الشركاء.
عودة “لوك بيت” واحتمالية إعادة المركزية
في سبتمبر 2025، شهدت الساحة الإلكترونية عودة قوية لإحدى العلامات التجارية الأكثر رسوخاً في عالم الجرائم السيبرانية، وهي “لوك بيت” (LockBit)، بإطلاق إصدارها الجديد 5.0. وقد أشار مديرها، LockBitSupp، إلى عودته التي بشر بها منذ أشهر بعد حملة “عملية كرونوس” في عام 2024.
يأتي الإصدار الجديد مع تحسينات ملحوظة، بما في ذلك تحديثات لأنظمة ويندوز ولينكس وESXi، بالإضافة إلى تسريع عملية التشفير وتعزيز تقنيات التخفي. ويمتلك الإصدار الجديد بوابات تفاوض فريدة لكل ضحية، مما قد يزيد من فعالية الهجمات.
إذا نجحت “لوك بيت 5.0” في جذب عدد كبير من الشركاء، فقد يؤدي ذلك إلى إعادة مركزية أجزاء كبيرة من اقتصاد برامج الفدية. هذه العودة المحتملة قد تجعل التتبع أسهل، لكنها تزيد أيضاً من احتمالية شن حملات واسعة ومنسقة.
“دراجون فورس” والتسويق في سوق برامج الفدية
توضح مجموعة “دراجون فورس” (DragonForce) استراتيجية أخرى للبقاء في سوق برامج الفدية، وهي التركيز على الظهور والعلامة التجارية. خلال سبتمبر 2025، زعمت المجموعة في منتديات سرية إقامة تحالفات مع كل من “لوك بيت” و”كيلين”. ورغم عدم التحقق من وجود بنية تحتية مشتركة، إلا أن هذه التحالفات تبدو رمزية أكثر منها عملية.
تعكس هذه الخطوات تطور برامج الفدية نحو أساليب تسويقية تشبه الشركات، حيث تقدم “دراجون فورس” إعلانات عن شراكات مع الشركاء، وخدمات تدقيق للبيانات المسروقة لتعزيز قوة الابتزاز، وجهود علاقات عامة تهدف إلى إظهار القوة والموثوقية. هذه الاستراتيجيات تسلط الضوء على سوق تنافسي يمثل فيه المظهر والمصداقية قيمة لا تقل عن سرعة التشفير.
اتجاهات جغرافية وقطاعية
حافظت الولايات المتحدة على موقعها كهدف رئيسي، مستوعبة حوالي نصف الضحايا، ويعود ذلك غالباً إلى القيمة العالية للبيانات في السوق الأمريكي. وشهدت كوريا الجنوبية دخولها لأول مرة ضمن أكبر عشر دول مستهدفة، مدفوعة بحملات مركزة من مجموعة “كيلين” على القطاع المالي.
ظلت أوروبا نشطة بشكل كبير، مع استمرار الضغط على ألمانيا والمملكة المتحدة من قبل مجموعتي “سيف باي” و”آي إن سي رانسوم”. أما على الصعيد القطاعي، فقد شكّل قطاع التصنيع وخدمات الأعمال حوالي 10% من الحالات المسجلة، بينما ظل قطاع الرعاية الصحية ثابتاً عند 8%، مع تجنب بعض المجموعات لهذا القطاع بحذر.
التحديات المستقبلية
يؤكد الربع الثالث من عام 2025 على الصمود الهيكلي لبرامج الفدية. فجهود الإنفاذ وضغوط السوق لم تعد كافية للقضاء على الأعداد الإجمالية، بل تعيد تشكيل المشهد فقط. وإذا نجحت “لوك بيت” في استعادة هيمنتها، فقد يعيد ذلك بعض القدرة على التنبؤ، ولكنه قد يفتح الباب أيضاً لحملات منسقة واسعة النطاق.
بالنسبة لمتخصصي الأمن السيبراني، فإن الحل يكمن في تجاوز مجرد تتبع أسماء العلامات التجارية. ويتعين على المحللين الآن مراقبة حركة الشركاء، وتداخل البنية التحتية، والحوافز الاقتصادية التي تدعم هذه المجموعات، بغض النظر عن مدى تشتتها.