يشهد مشهد تهديدات برامج الفدية مرحلة جديدة في عام 2025، حيث تواجه هذه الأنشطة الإجرامية ضغوطًا مالية كبيرة. ورغم انخفاض معدلات دفع الفدية والانخفاض الحاد في المطالبات، يكيف المجرمون أساليبهم لجعل عملياتهم أكثر صعوبة في التعطيل.
وبحسب تقارير صدرت حديثًا، انخفضت معدلات دفع الفدية إلى مستويات قياسية، مع تراجع متوسط المطالبات بشكل ملحوظ. لقد أصبح بإمكان المؤسسات استعادة بياناتها بشكل أكثر فعالية، مما يضعف من قوة الابتزاز التي تعتمد عليها عصابات برامج الفدية.
تطور تكتيكات الجهات الفاعلة في هجمات برامج الفدية
حلل خبراء من مجموعة استخبارات التهديدات التابعة لجوجل كلاود (GTIG)، بقيادة باحثين مثل بافي سادايابان وزاك ريدل، هذه الأنماط المتغيرة من خلال تحقيقات الاستجابة للحوادث التي أجريت خلال عام 2025. وقد كشفت هذه التحليلات عن تغيرات جذرية في استراتيجيات الجهات الفاعلة في مجال برامج الفدية.
ومع ذلك، لم تؤدِ هذه الضغوط إلى تراجع هجمات برامج الفدية، بل دفعت المهاجمين إلى تبني تكتيكات جديدة، مما يشير إلى استعدادهم للتكيف مع التحديات الجديدة. وقد شملت هذه التكتيكات تغييرات في طبيعة المعلومات المستهدفة وأساليب سرقتها.
التراجع المالي والضغوط على جهات الفدية
أظهرت تقارير أن معدلات دفع الفدية وصلت إلى أدنى مستوياتها في الربع الرابع من عام 2025. أبلغت شركة Sophos عن انخفاض بمتوسط المطالبات بمقدار الثلث، من 2 مليون دولار في عام 2024 إلى 1.34 مليون دولار في عام 2025.
في المقابل، تحسنت قدرة المؤسسات على استعادة بياناتها من النسخ الاحتياطي. فقد تمكن حوالي نصف ضحايا برامج الفدية من استعادة بياناتهم في عام 2024، مقارنة بنسبة 11% فقط في عام 2022. هذا التحسن الملحوظ في القدرة على التعافي قلل بشكل مباشر من فعالية الابتزاز.
تحولات في النظام البيئي لبرامج الفدية
شهد النظام البيئي لبرامج الفدية اضطرابات كبيرة خلال عام 2025. تم إضعاف أو تفكيك عمليات برامج الفدية كخدمة (RaaS) البارزة مثل LockBit و ALPHV و Basta و RansomHub بسبب الضغوط القانونية والصراعات الداخلية.
ومع ذلك، نجحت عائلات برامج فدية أخرى مثل Qilin و Akira في سد الفجوة. وتجاوز إجمالي عدد الضحايا المنشورين على مواقع تسريب البيانات أرقام عام 2024 بنسبة 50% تقريبًا. كما بدأ المهاجمون في استهداف المؤسسات الصغيرة بشكل أكبر، مبتعدين عن الشركات الكبيرة ذات الدفاعات القوية.
صعود سرقة البيانات كوسيلة للابتزاز
من أبرز التغييرات الموثقة في تحقيقات عام 2025 هو الارتفاع الكبير في استخلاص البيانات كأداة رئيسية للابتزاز. لاحظت GTIG استخلاص بيانات مؤكد أو مشتبه به في حوالي 77% من اختراقات برامج الفدية، وهو ارتفاع كبير من 57% في العام السابق.
يهدد المهاجمون الآن بزيادة نشر البيانات المسروقة علنًا على مواقع التسريب، حتى لو تمكن الضحايا من استعادة أنظمتهم من النسخ الاحتياطي. هذا التكتيك يضيف طبقة إضافية من الضغط على المؤسسات.
لتحقيق سرقة البيانات، اعتمد المهاجمون على مزيج من الأدوات المألوفة والمتاحة على نطاق واسع. ظهر Rclone في حوالي 28% من حوادث سرقة البيانات لنقل الملفات إلى البنية التحتية التي يتحكم بها المهاجمون. كما لوحظ استخدام Rclone و WinRAR في حوالي 23% من جميع حوادث عام 2025.
تم استهداف أنواع محددة من الملفات لزيادة قوة الابتزاز، مثل الوثائق القانونية، وسجلات الموارد البشرية، وبيانات المحاسبة، وملفات تطوير الأعمال. وتهدف هذه المعلومات إلى تعظيم الضغط على المفاوضات.
تنصح GTIG المؤسسات بتطبيق ضوابط قوية لمنع فقدان البيانات (DLP)، ومراقبة حركة المرور الصادرة بحثًا عن عمليات نقل ملفات غير عادية أو كبيرة، وتقييد استخدام الأدوات غير المعتمدة مثل Rclone. كما أن الاحتفاظ بالسجلات التفصيلية للوصول إلى التخزين السحابي والرؤية في نشاط نقاط النهاية يمكن أن يوفر إنذارًا مبكرًا لمحاولات الاستخلاص.