كشفت أبحاث جديدة عن تحالف استراتيجي بين ثلاث مجموعات رئيسية برامج الفدية، وهو ما وصفه خبراء الأمن السيبراني بأنه أحد أبرز التطورات المقلقة في العالم الإجرامي تحت الأرض.
أعلنت مجموعة برامج الفدية “دراغون فورس” (DragonForce) في 15 سبتمبر 2025، عبر منشور على منتدى روسي سري، عن تشكيل تحالف يضمها ومجموعتي “كيلين” (Qilin) و”لوك بيت” (LockBit). يمثل هذا الائتلاف رداً تكتيكياً على الضغوط المتزايدة من عمليات إنفاذ القانون الدولية التي نجحت في تعطيل العديد من عمليات برامج الفدية الرئيسية خلال السنوات الأخيرة.
ويأتي الإعلان عن هذا التحالف في وقت أصبح فيه مشهد برامج الفدية أكثر خطورة على المشغلين الإجراميين. لم تقم عمليات إنفاذ القانون بتفكيك البنى التحتية للمجموعات فحسب، بل حددت أيضاً المسؤولين الجماعيين وأصدرت مذكرات اعتقال دولية.
وقد أدى ذلك إلى خلق بيئة برامج فدية أكثر تجزئة وأقل تماسكاً، مما يصعب على المجموعات تجنيد كل من المشغلين الجدد وذوي الخبرة. يهدف هذا التعاون إلى تجاوز هذه التحديات.
وذكر المنشور بشكل خاص أن التحالف تشكل لمعالجة التحديات التي يفرضها النظام البيئي الإجرامي لبرامج الفدية. تشير البيانات الحديثة إلى زيادة في ادعاءات برامج الفدية بنسبة 61% على أساس سنوي، من يناير إلى نوفمبر 2025، مقارنة بنفس الفترة من عام 2024.
ومع ذلك، فإن هذا النمو يخفي أزمة أعمق داخل عالم برامج الفدية. تستحوذ المجموعات الرائدة في برامج الفدية الآن على حصة أصغر من إجمالي الهجمات، حيث انخفضت من 54.8% في عام 2024 إلى 53.1% في عام 2025. يشير هذا التحول إلى أن العمليات الإجرامية تنتشر عبر المزيد من المجموعات بدلاً من التركيز تحت اللاعبين المهيمنين.
حدد محللو Yarix هذا الاتجاه أثناء مراقبة ادعاءات برامج الفدية على مدار عام 2025 لتقييم المدى المحتمل للخطر والمصداقية لإعلان التحالف.
وكشف البحث أيضاً أن المنظمات الضحية ترفض بشكل متزايد دفع الفدية. انخفض متوسط مدفوعات الفدية بنسبة 65% في الربع الثالث من عام 2025 مقارنة بالربع السابق، لتصل إلى حوالي 140,000 دولار أمريكي.
وخلال هذه الفترة، اختار 23% فقط من الضحايا دفع الفدية، وهو انخفاض كبير يعكس تحسن استعداد المنظمات واستراتيجيات النسخ الاحتياطي. وقد أجبر هذا الانخفاض الكبير في المدفوعات مجموعات برامج الفدية على إعادة النظر في نماذج عملياتها والبحث عن أساليب جديدة للحفاظ على الربحية.
تغيرات في عمليات الهجوم ونشاط المجموعات
تُظهر تحليلات نشاط مواقع تسريب البيانات (Data Leak Sites) أنماطاً واضحة بين المجموعات الثلاث المتحالفة. ظهرت مجموعة “كيلين” كأكثر مجموعات برامج الفدية نشاطاً في عام 2025، حيث شكلت 13.07% من جميع الادعاءات بين يناير ونوفمبر.
وأظهرت المجموعة نمواً مستمراً طوال العام، مع ذروة النشاط في أكتوبر 2025 بنسبة 3.25% من الادعاءات الشهرية. جاءت هذه الزيادة بعد أسابيع قليلة من إعلان التحالف، مما يشير إلى أن الائتلاف قد يساعد في جذب مشغلين جدد أو خلق تأثير تسويقي يعزز التجنيد.
أظهرت “دراغون فورس” نمواً مطرداً ولكنه تدريجي، حيث ارتفعت من المركز التاسع في أغسطس إلى المركز الثامن بحلول أكتوبر 2025. حافظت المجموعة على استمرارية العمليات طوال العام مع ادعاءات تتراوح بين 0.08% و 0.45% شهرياً. في هذه الأثناء، أظهرت “لوك بيت” مساراً مختلفاً تماماً.
على الرغم من أنها كانت تاريخياً واحدة من أكثر مجموعات برامج الفدية شيوعاً، إلا أن “لوك بيت” لم تنشر أي ادعاءات من يونيو إلى نوفمبر 2025. يشير هذا النشاط الطويل الأمد إلى أن المجموعة لم تتعافَ من عملية كرونوس (Operation Cronos)، وهي عملية إنفاذ القانون الكبرى التي عطلت بنيتها التحتية في فبراير 2024.
يثير توقيت هذه الاتجاهات تساؤلات حول ما إذا كان التحالف يمثل تكاملاً تشغيلياً حقيقياً أم مجرد استراتيجية لتسويق العلامة التجارية. لاحظ باحثو Yarix أن إدراج “لوك بيت” قد يهدف بالأساس إلى الحفاظ على سمعتها بدلاً من المساهمة بقدرات نشطة.
يشير الافتقار إلى إشارات تشغيلية ملموسة من “لوك بيت”، جنباً إلى جنب مع النمو المستقل لـ “كيلين” و”دراغون فورس”، إلى أن التحالف قد يكون رمزياً أكثر منه وظيفياً. ومع ذلك، فإن الارتفاع في نشاط “كيلين” بعد الإعلان يوضح أن التحالفات الرمزية يمكن أن يكون لها تأثيرات حقيقية من خلال جذب المشغلين الإجراميين الذين يبحثون عن مجموعات نشطة ومرئية للانضمام إليها.