يشهد مشهد برامج الفدية تطوراً مستمراً مع تبني جهات تهديد جديدة لتكتيكات غير تقليدية. برزت مجموعة “Coinbase Cartel” في سبتمبر 2025، وسرعان ما أعلنت عن 14 ضحية في شهرها الأول. خلافاً لمجموعات برامج الفدية التقليدية، تركز هذه الجهة التهديدية حصرياً على استخلاص البيانات دون تشفير الأنظمة.
يمثل هذا النهج تحولاً في استراتيجيات المجرمين السيبرانيين، مما يجعل الهجمات أكثر صمتاً وأسرع تنفيذاً مع الحفاظ على القدرة على المطالبة بفدية. يواجه الضحايا إنذاراً بسيطاً: دفع المال لاستعادة البيانات المسروقة أو مشاهدة نشرها علناً. تستهدف المجموعة مؤسسات عبر قطاعات متعددة، بإيرادات تتراوح من ملايين إلى مئات المليارات من الدولارات.
Coinbase Cartel وتأثيرها على القطاعات الحيوية
حددت تحليلات Bitdefender مجموعة “Coinbase Cartel” كواحدة من أكبر 10 مجموعات برامج فدية في سبتمبر وديسمبر 2025، مع أكثر من 60 ضحية أُعلن عنها خلال الأشهر الأولى. تشكل صناعات الرعاية الصحية والتكنولوجيا والنقل أكثر من نصف أهداف المجموعة. وقد شهدت مؤسسات الرعاية الصحية في دولة الإمارات العربية المتحدة تأثيراً ثقيلاً بشكل خاص.
يثير تركيز المجموعة على منشآت الرعاية الصحية في الإمارات تساؤلات حول الدوافع الكامنة. بينما يبدو المكسب المالي هو الأولوية، فإن الاستهداف المركز لـ 10 مؤسسات صحية في شهر واحد يشير إلى اعتبارات جيوسياسية محتملة، ربما تهدف إلى تعطيل اقتصاد الإمارات.
آليات العدوى والابتزاز
تستخدم مجموعة “Coinbase Cartel” عدة طرق للحصول على الوصول الأولي إلى أنظمة الضحايا. لا يزال الهندسة الاجتماعية يمثل المتجه الأساسي، إلى جانب الدعم منوسطاء الوصول الأولي الذين يوفرون بيانات اعتماد تم اختراقها مسبقاً. كما تحصل المجموعة على بيانات اعتماد مكشوفة عبر قنوات مختلفة في العالم السفلي.
بمجرد الدخول إلى الشبكة، يستخدم المهاجمون الحسابات الإدارية للتلاعب بإعدادات النظام وتعديل سجلات الأخطاء، مما يقلل من فرص اكتشافهم. يتم استخلاص البيانات ذات الأهمية بشكل منهجي قبل أن تنشر المجموعة أسماء الضحايا على موقع تسريب البيانات الخاص بها. يتلقى الضحايا 48 ساعة للرد عبر واجهة دردشة مخصصة، تليها 10 أيام لتقديم مدفوعات بالبيتكوين أو التفاوض على شروط الفدية.
يعرض موقع المزاد الخاص بـ “Coinbase Cartel” البنية التحتية للمجموعة لتحقيق الدخل من البيانات المسروقة عبر قنوات متعددة. تعمل المجموعة بشكل مستقل دون استخدام نموذج “Ransomware-as-a-Service”، بدلاً من ذلك تقوم بتجنيد مجرمي الإنترنت مباشرة. في الخريف الماضي، طلبوا استغلالات “صفر يوم” بميزانية تتجاوز 2 مليون دولار، مما يدل على موارد مالية وطموحات كبيرة.
يجب على المؤسسات فرض المصادقة متعددة العوامل عبر جميع الحسابات، خاصة الحسابات الإدارية. يمنع إدارة التصحيحات المنتظمة الثغرات التي يستغلها المهاجمون للوصول الأولي. نظراً لأن “Coinbase Cartel” لا تقوم بتشفير البيانات، فإن الاحتفاظ بنسخ احتياطية آمنة يحمي من التلاعب بالبيانات. يساعد إنشاء قوائم جرد للبيانات الهامة في تحديد المعلومات الحساسة التي تتطلب حماية معززة. توفر حلول استخبارات التهديدات الوعي بالتكتيكات المتطورة، بينما توفر خدمات الكشف والاستجابة المدارة قدرات سريعة للكشف عن الحوادث والاستجابة لها.