Lazarus ينضم كشريك: تحوّل كوريا الشمالية نحو RaaS مع Medusa Ransomware

نُشر في أبريل 2, 2026 · آخر تحديث أبريل 3, 2026 · بواسطة ALGERIATECH Editorial

⚡ النقاط الرئيسية

الخلاصة: ينبغي لفرق الأمن الجزائرية نشر قواعد كشف لـ Comebacker وBlindingcan فورًا إلى جانب مؤشرات Medusa الحالية. يجب على مؤسسات الرعاية الصحية ومشغلي البنى التحتية الحيوية التحقق من تطبيق المصادقة متعددة العوامل على جميع نقاط الوصول عن بُعد والتأكد من تفعيل ضوابط منع فقدان البيانات. التقاء Lazarus-RaaS يعني أنه حتى المؤسسات التي افترضت أنها دون عتبة الاستهداف الحكومي يجب أن تعيد تقييم وضعها الأمني.

اقرأ التحليل الكامل ↓

🧭 رادار القرار (المنظور الجزائري)

الأهمية بالنسبة للجزائر
عالية
▾

حجبت الجزائر 70 مليون هجوم سيبراني في 2024 وقطاعا الصحة والطاقة أهداف رئيسية. التقاء الجهات الحكومية مع منصات RaaS الإجرامية يرفع سقف التهديد لجميع المؤسسات، بما فيها البنى التحتية الحيوية الجزائرية.

البنية التحتية جاهزة؟
جزئيًا
▾

الاستراتيجية الوطنية للأمن السيبراني 2025-2029 تفرض قدرات SOC وشراكات MSSP، لكن معظم مؤسسات الرعاية الصحية والمنظمات غير الربحية لا تزال تفتقر إلى كشف متقدم للاختراقات بمستوى حكومي.

المهارات متوفرة؟
محدودة
▾

القوى العاملة في الأمن السيبراني بالجزائر تتوسع عبر برامج التكوين المهني، لكن خبرة الاستجابة للحوادث القادرة على كشف أدوات Lazarus المحددة (Comebacker، Blindingcan) تبقى نادرة.

الجدول الزمني للعمل
فوري
▾

Lazarus ينشر Medusa ransomware بنشاط الآن؛ المؤسسات ذات RDP مكشوف أو MFA ضعيف أو بيانات صحية يجب أن تعامل هذا كتهديد نشط يتطلب إجراءات دفاعية فورية.

أصحاب المصلحة الرئيسيون
مسؤولو أمن المعلومات، محللو SOC، مدراء تكنولوجيا المعلومات في الرعاية الصحية، الجهات الحكومية للأمن السيبراني

نوع القرار
تكتيكي
▾

يقدم هذا المقال مؤشرات اختراق محددة وإجراءات دفاعية يجب أن تنفذها فرق الأمن في مسارات الكشف والاستجابة الحالية.

خلاصة سريعة: ينبغي لفرق الأمن الجزائرية نشر قواعد كشف لـ Comebacker وBlindingcan فورًا إلى جانب مؤشرات Medusa الحالية. يجب على مؤسسات الرعاية الصحية ومشغلي البنى التحتية الحيوية التحقق من تطبيق المصادقة متعددة العوامل على جميع نقاط الوصول عن بُعد والتأكد من تفعيل ضوابط منع فقدان البيانات. التقاء Lazarus-RaaS يعني أنه حتى المؤسسات التي افترضت أنها دون عتبة الاستهداف الحكومي يجب أن تعيد تقييم وضعها الأمني.

الخلاصة الرئيسية: أكدت Symantec أن مجموعة Lazarus الكورية الشمالية تنشر Medusa ransomware كشريك — مما يمثل تحولًا استراتيجيًا حيث يتبنى المشغلون الحكوميون البنية التحتية الإجرامية المثبتة لنموذج RaaS بدلًا من بناء بنيتهم الخاصة، مع تحمل مؤسسات الرعاية الصحية العبء الأكبر لمتوسط طلب فدية يبلغ 260,000 دولار.

عندما تنضم الدول إلى برنامج الشراكة

لسنوات، كان الخط الفاصل بين العمليات السيبرانية الحكومية وبرامج الفدية الإجرامية ضبابيًا لكن باتجاه محدد: الجهات الحكومية تطور أدوات مخصصة، والمجرمون يستأجرونها. هذا النموذج انعكس الآن.

كشفت Symantec وCarbon Black عن أدلة في فبراير 2026 على أن مجموعة Lazarus الكورية الشمالية — واحدة من أكثر عمليات القرصنة الحكومية قدرة وموارد في العالم — بدأت في نشر Medusa ransomware كشريك. ليس كمطور. ليس كمشغل لأدوات مبنية حسب الطلب. بل كعميل لمنصة ransomware-as-a-service (RaaS) قائمة.

ظهرت عصابة Medusa ransomware لأول مرة في يونيو 2021 كعملية مغلقة، وارتفعت شهرتها في بداية 2023، وتوسعت منذ ذلك الحين نحو نموذج RaaS أكثر انفتاحًا يسمح للشركاء بنشر البرمجية الخبيثة مقابل حصة من عائدات الفدية. حتى الآن، طالبت Medusa بأكثر من 366 ضحية عبر قطاعات متعددة.

قيّمت Symantec أن نشاط Medusa المرصود كان “بلا شك” عمل Lazarus، بناءً على وجود Comebacker — باب خلفي ومحمّل مخصص مرتبط حصريًا بالمجموعة — إلى جانب أدوات أخرى مرتبطة بـ Lazarus. الإسناد راسخ على مستوى المجموعة، رغم بقاء عدم اليقين حول المجموعة الفرعية المحددة التي تنفذ العمليات.

لماذا التحول إلى برنامج فدية شخص آخر؟

المنطق الاستراتيجي واضح. كما لخّص أحد الباحثين: “لماذا تتكبد عناء تطوير حمولة برنامج فدية خاصة بك عندما يمكنك استخدام تهديد مُجرب ومثبت مثل Medusa أو Qilin؟ ربما قرروا أن الفوائد تفوق التكاليف من حيث رسوم الشراكة.”

بالنسبة لـ Lazarus، تشمل مزايا هذا التحول:

الإنكار المعقول. عندما تكتشف الضحية Medusa ransomware في بيئتها، الافتراض الأول هو إجرامي — وليس حكوميًا. يصبح الإسناد أصعب عندما يُستخدم البرنامج نفسه من قبل عشرات الشركاء حول العالم.

الكفاءة التشغيلية. بنية Medusa التحتية — بوابات الدفع، مواقع التسريب، قنوات التفاوض — مبنية بالفعل ومُختبرة وتعمل. يتجنب Lazarus تكاليف تطوير وصيانة أدوات برامج الفدية المخصصة.

توليد الإيرادات. تستخدم كوريا الشمالية منذ فترة طويلة الجرائم السيبرانية لتمويل برامجها التسليحية، مع سرقات عملات مشفرة حكومية تتجاوز 6 مليارات دولار منذ 2017 — بما في ذلك سرقة Bybit الفردية البالغة 1.5 مليار دولار في فبراير 2025. تضيف برامج الفدية تدفق إيرادات موازٍ يعمل على نطاق واسع.

سرعة النشر. بدلًا من استثمار أشهر في تطوير واختبار ونشر برامج فدية مخصصة، يمكن لمشغلي Lazarus التركيز على ما يجيدونه — الوصول الأولي والحركة الجانبية — ثم تسليم التشفير والابتزاز لبنية تحتية مثبتة.

سلسلة الهجوم بالتفصيل

يتبع النمط التشغيلي الذي رصدته Symantec تسلسلًا متسقًا:

الوصول الأولي يأتي من خلال سرقة بيانات الاعتماد أو التصيد أو استغلال الخدمات المكشوفة — الحرفية الكلاسيكية لـ Lazarus المصقولة على مدار عقد من العمليات.

الحركة الجانبية وتصعيد الامتيازات تليها، حيث يتنقل مشغلو Lazarus عبر بيئة الضحية لتحقيق التحكم على مستوى النطاق. تستخدم هذه المرحلة مزيجًا من أدوات Lazarus الحصرية وتقنيات استغلال الأدوات المحلية الشائعة.

نشر الأدوات يتضمن Comebacker، الباب الخلفي/المحمّل المرتبط بـ Lazarus الذي يعد أقوى مؤشر إسناد؛ وBlindingcan، حصان طروادة للوصول عن بُعد ارتبط سابقًا بعمليات Lazarus؛ وChromeStealer، المصمم لاستخراج بيانات الاعتماد المخزنة من متصفحات Google Chrome.

نشر برنامج الفدية يحدث بمجرد تحقيق السيطرة الكافية. يشفر Medusa الأنظمة مع سرقة البيانات لدعم الابتزاز المزدوج — التهديد بالتشفير الدائم والكشف العلني عن البيانات لتعظيم الضغط.

طلبات الفدية بلغت في المتوسط 260,000 دولار لأهداف الرعاية الصحية والمنظمات غير الربحية منذ نوفمبر 2025، وهي متواضعة نسبيًا بمعايير برامج فدية المؤسسات لكنها مدمرة للمنظمات محدودة الموارد.

الرعاية الصحية في مرمى النيران

يكشف اختيار الأهداف عن استراتيجية متعمدة. يُظهر تحليل موقع تسريب Medusa أربع منظمات رعاية صحية وغير ربحية في الولايات المتحدة مدرجة منذ أوائل نوفمبر 2025، بما في ذلك منظمة غير ربحية في قطاع الصحة النفسية ومؤسسة تعليمية للأطفال المصابين بالتوحد.

تتشارك هذه الأهداف خصائص تجعلها جاذبة لـ Lazarus:

نضج أمني منخفض. تعمل المنظمات الصحية غير الربحية عادة بميزانيات وكوادر أمن تكنولوجيا معلومات دنيا.
دافع دفع مرتفع. تعطيل رعاية المرضى يخلق ضغطًا عاجلًا للدفع.
قدرة تحقيق جنائي محدودة. نادرًا ما تملك المنظمات الصغيرة غير الربحية الموارد للاستجابة المطولة للحوادث.
تعرض تنظيمي. متطلبات إخطار الاختراق بموجب HIPAA تضيف ضغطًا سمعيًا يتجاوز الفدية نفسها.

حددت Symantec أيضًا هجومًا ناجحًا على هدف في الشرق الأوسط، إلى جانب محاولة فاشلة لاختراق منظمة رعاية صحية أمريكية، مما يشير إلى أن الحملة أوسع مما يكشفه موقع التسريب وحده.

تعقيد الإسناد: أي Lazarus هذا؟

مجموعة Lazarus ليست كيانًا واحدًا بل مجموعة من الفرق الفرعية تعمل تحت المكتب العام للاستطلاع في كوريا الشمالية. لاحظت Symantec أنه بينما تشبه التكتيكات والتقنيات والإجراءات — هجمات ابتزاز على الرعاية الصحية الأمريكية — عمليات Stonefly السابقة (المعروف أيضًا باسم Andariel أو Onyx Sleet)، فإن أدوات البرمجيات الخبيثة المستخدمة ليست حصرية لـ Stonefly. باب Comebacker الخلفي، على سبيل المثال، ارتبط أيضًا بالمجموعة الفرعية Pompilus (Diamond Sleet).

هذا الغموض قد يكون مقصودًا. إذا كانت كوريا الشمالية تنشر Medusa عبر مجموعات فرعية متعددة، فهذا يخلق تكرارية تشغيلية. تعطيل فريق واحد لا يوقف الحملة.

حددت Symantec أيضًا حملة Lazarus منفصلة تستخدم برنامج فدية Qilin إلى جانب Medusa، مما يشير إلى أن المجموعة قد تتنوع عبر منصات RaaS متعددة في وقت واحد.

ماذا يعني هذا للمدافعين

التقاء القدرات الحكومية مع البنية التحتية الإجرامية RaaS يتطلب تحديث نماذج التهديد:

فرضيات الإسناد يجب أن تتغير. وجود Medusa في بيئتك لم يعد يعني “مجموعة إجرامية”. قد يعني “مشغل حكومي بموارد دولة للوصول الأولي والاستمرارية.”

الاستثمار في أمن الرعاية الصحية غير قابل للتفاوض. متوسط الفدية البالغ 260,000 دولار يقلل من التكلفة الحقيقية — الغرامات التنظيمية والمسؤولية القانونية وتعطيل رعاية المرضى تضاعف الأثر بمقدار عشرة أضعاف.

ابحثوا عن مؤشرات Lazarus إلى جانب Medusa. يجب نشر قواعد الكشف لـ Comebacker وBlindingcan وChromeStealer إلى جانب مؤشرات الاختراق القياسية لـ Medusa. وجود هذه الأدوات بجانب Medusa هو الإشارة الأوضح لهجوم مرتبط بـ Lazarus.

نظافة بيانات الاعتماد تحجب نقطة الدخول. يحصل Lazarus على الوصول الأولي من خلال سرقة بيانات الاعتماد والتصيد. المصادقة متعددة العوامل القوية ومراقبة بيانات الاعتماد والمصادقة المقاومة للتصيد تقوّض سلسلة الهجوم مباشرة.

افترضوا أن الابتزاز المزدوج هو الوضع الافتراضي. كل عملية نشر لـ Medusa تتضمن سرقة البيانات. يجب أن تكون تجزئة الشبكة وضوابط منع فقدان البيانات جاهزة قبل نشر برنامج الفدية، وليس بعده.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

لماذا تستخدم مجموعة Lazarus برنامج Medusa ransomware بدلًا من بناء أدواتها الخاصة؟

يحصل Lazarus على إنكار معقول (Medusa يُستخدم من عشرات الشركاء الإجراميين)، ويتجنب تكاليف التطوير، ويستفيد من بنية Medusa التحتية المثبتة للدفع والتسريب. هذا يتيح لمشغلي Lazarus التركيز على قوتهم الأساسية — الوصول الأولي والحركة الجانبية — مع تفويض ميكانيكيات التشفير والابتزاز لمنصة مُختبرة ميدانيًا.

كيف يمكن للمدافعين التمييز بين هجوم Medusa مرتبط بـ Lazarus وهجوم إجرامي عادي؟

المؤشرات الرئيسية هي وجود أدوات حصرية لـ Lazarus إلى جانب Medusa ransomware. Comebacker (باب خلفي/محمّل مخصص)، وBlindingcan (حصان طروادة للوصول عن بُعد)، وChromeStealer (جامع بيانات اعتماد) مرتبطة بقوة بعمليات Lazarus. إذا ظهرت أي من هذه الأدوات في بيئة إلى جانب Medusa، فمن المرجح أن الهجوم يتضمن شريكًا حكوميًا وليس مشغلًا إجراميًا بحتًا.

ماذا ينبغي أن تفعل المؤسسات الجزائرية لحماية نفسها من هذا التهديد؟

ينبغي للمؤسسات فرض مصادقة متعددة العوامل مقاومة للتصيد على جميع نقاط الوصول عن بُعد، ونشر توقيعات كشف لكل من Medusa ومؤشرات الاختراق الخاصة بـ Lazarus، وتنفيذ تجزئة الشبكة للحد من الحركة الجانبية. ينبغي لمؤسسات الرعاية الصحية ومشغلي البنى التحتية الحيوية إعطاء الأولوية لشراكات MSSP في إطار استراتيجية الجزائر 2025-2029، حيث توفر هذه المراقبة على مدار الساعة اللازمة لكشف سلاسل الاختراق المتطورة.