Qilin وDragonForce: دليل جاهزية للشركات الجزائرية

نُشر في أبريل 18, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

مثّلت Qilin وDragonForce 21% من نشاط برامج الفدية العالمي بين 8 و15 أبريل 2026، وشكّلت Qilin وAkira وDragonForce مجتمعة 40% من 672 هجمة في مارس 2026. تعمل المجموعتان بنموذج تابعين مُصنَّع على طريقة الكارتل يعتمد على ضعف المصادقة متعددة العوامل وعدم ترقيع المحيط ووصول المهاجمين إلى النسخ الاحتياطية.

خلاصة: على الشركات الصغيرة والمتوسطة في الجزائر تنفيذ برنامج جاهزية مدّته سبعة أيام — MFA في كل مكان، نسخ احتياطية غير متصلة، ترقيع المحيط، تدريب تصيّد، خطة حوادث من صفحة واحدة — وتخصيص ميزانية لعقد Managed Detection and Response للربع القادم.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائرعالي▾

تستهدف Qilin وDragonForce بشكل رئيسي منظمات متوسطة الحجم حول العالم باستخدام نقاط ضعف شائعة — وهذا تحديداً ملف معظم الشركات الصغيرة والمتوسطة الجزائرية التي تُشغّل بيئات Windows بتغطية MFA متفاوتة ونسخ احتياطية محلية.

الجدول الزمني للعملفوري▾

هاتان المجموعتان في ذروة نشاطهما وتُصنّعان عن قصد تأهيل التابعين، لذا ينبغي أن يبدأ عمل الجاهزية هذا الأسبوع وليس في مراجعة ربع سنوية مستقبلية.

أصحاب المصلحة الرئيسيونأصحاب الشركات الصغيرة والمتوسطة، مديرو تقنية المعلومات، المديرون الماليون، شركاء MSSP

نوع القرارتكتيكي▾

سباق جاهزية قصير وملموس — لا رهان استراتيجي على منصة — يُركّز على MFA والنسخ الاحتياطية والترقيع وتدريبات التصيّد.

مستوى الأولويةحرج▾

علامتان تجاريتان لبرامج الفدية تقودان وحدهما نحو 21% من الهجمات الأسبوعية عالمياً، وحادث ناجح قد يُوقف شركة جزائرية صغيرة أو متوسطة لأسابيع ويفرض قرارات فدية صعبة.

خلاصة سريعة: على الشركات الصغيرة والمتوسطة الجزائرية تنفيذ سباق الأيام السبعة هذا الأسبوع — MFA في كل مكان، نسخ احتياطية غير متصلة، ترقيع الصناديق الثلاثة المهمة، تدريب تصيّد، خطة حوادث من صفحة واحدة — وتخصيص ميزانية في الربع القادم لعقد Managed Detection and Response مع شريك محلي. الهدف ليس انعدام المخاطر، بل أن تصبح أغلى من الهدف التالي في القائمة.

لماذا تُعرّف Qilin وDragonForce برامج الفدية في 2026

تُهيمن علامتان تجاريتان لبرامج الفدية على أغلب الضوضاء في مواقع التسريب بالدارك ويب. تقرير الاتجاهات الأسبوعي من Ransom-DB للفترة 8-15 أبريل 2026 يضع Qilin كأنشط مجموعة بـ20 ضحية وDragonForce خلفها مباشرةً بـ19، ويمثلان معاً 21% من الحجم العالمي لبرامج الفدية تلك الأسبوع. يُفيد Infosecurity Magazine، نقلاً عن بيانات NCC Group، بأن Qilin (20%) وAkira (12%) وDragonForce (8%) قادت 40% من 672 هجمة فدية في مارس 2026.

تحوّلان بنيويان يُفسّران الطفرة:

Qilin ناضجة تشغيلياً. حمولاتها المكتوبة بلغة Rust، وتكتيكات الابتزاز المتعدد، وموقع تسريب البيانات كلها تعمل على نطاق واسع، وفق Barracuda Networks.
DragonForce استوعبت التابعين. Dark Reading يُفصّل نموذج كارتل بعلامة بيضاء مُبنياً مع LockBit وQilin، يسمح للتابعين بتشغيل علامات مستقلة على بنية تحتية مشتركة؛ وDragonForce استوعبت مشغّلي RansomHub المُزاحين بعد تصدّع ذلك النظام البيئي.

النتيجة العملية للشركات الصغيرة والمتوسطة الجزائرية: أنت أكثر عرضة لمواجهة أحد هؤلاء المشغّلين مقارنةً بأي فاعل تهديد مُفصّل خصيصاً، ودليلهم مبني حول قائمة قصيرة من نقاط الضعف المتكررة.

نقاط الضعف المتكررة التي تستغلها هاتان المجموعتان

تتقاطع التقارير العامة حول اختراقات Qilin وDragonForce في نمط مألوف:

الوصول الأولي عبر VPN أو بوابة سطح مكتب بعيد بمصادقة متعددة العوامل ضعيفة (غالباً بدون أي MFA على الحافة).
سرقة بيانات الاعتماد عبر أدوات تصيّد وinfostealers، بما في ذلك مشغّلون يشترون الوصول من وسطاء الوصول الأولي.
رفع الامتيازات عبر مضيفات Windows أو Exchange أو مشرفات افتراضية غير مُرقّعة.
إخراج البيانات قبل التشفير لتفعيل ضغط الابتزاز المتعدد — نشر البيانات حتى إن استطاعت الضحية الاستعادة من النسخ الاحتياطي.
استهداف البنية التحتية للنسخ الاحتياطي (خوادم Veeam، حجوم النسخ الاحتياطي المنضمّة إلى النطاق) لكسر الاستعادة قبل التفجير.

لا يتطلب أي من هذه ثغرة zero-day. تُشير تحليل Todyl لتحالف LockBit–Qilin–DragonForce إلى أن الكارتل صنّع عن قصد عملية تأهيل التابعين بحيث يستطيع أي مشغّل متوسط المهارة إعادة إنتاج السلسلة.

دليل جاهزية لأسبوع واحد للشركات الصغيرة والمتوسطة في الجزائر

شركة تجارة جزائرية أو مشغّل لوجستي أو مُصنّع متوسط الحجم لا يحتاج إلى SOC كبير. يحتاج إلى برنامج مُكثّف من المكاسب الدفاعية. نفّذ ما يلي على مدى أسبوع:

اليوم 1 — MFA على كل نقطة دخول خارجية. VPN وRDP وOutlook Web Access ومسؤول O365 وcPanel — دون استثناءات. إذا لم يكن المنتج يدعم MFA، ضعه خلف reverse proxy أو بوابة SSO تدعمه.

اليوم 2 — نسخ احتياطية منفصلة وغير متصلة. تأكد من وجود نسخة احتياطية واحدة على الأقل لا يمكن الوصول إليها من خادم النسخ الاحتياطي المنضم إلى النطاق. الطبقات السحابية غير القابلة للتعديل (AWS S3 Object Lock، Azure Blob immutability)، أو الشريط، أو tenant منفصل، كلها مقبولة؛ لكن مستودع Veeam محلياً على نفس AD ليس مقبولاً.

اليوم 3 — رقّع الصناديق الثلاثة التي تهمّ. جدار الحماية / جهاز VPN المكشوف على الإنترنت، وخادم البريد، ومتحكمات النطاق. هذه الصناديق الثلاثة تُغطّي نحو 80% من تقنيات الوصول الأولي الشائعة. تقرير Check Point لتهديدات مارس 2026 يُشير إلى أن فاعلي برامج الفدية يواصلون التحوّل سريعاً إلى ثغرات VPN والمحيط المُعلنة.

اليوم 4 — نظافة بيانات الاعتماد. افرض تدوير كلمات المرور على حسابات المسؤولين، وعطّل الحسابات الخاملة، ودقّق حسابات الخدمة التي تحمل حقوق مسؤول نطاق. أضف سياسات conditional access تحجب عمليات تسجيل الدخول من بلدان غير متوقعة.

اليوم 5 — محاكاة تصيّد + تدريب استجابة. نفّذ تمرين تصيّد داخلي بسيط. قِس كم يستغرق وصول رسالة تصيّد مُبلَّغ عنها إلى شخص قادر فعلاً على التحقيق والحجب. إذا تجاوز هذا الرقم ساعة واحدة، فهذه أكبر فجوة لديك.

اليوم 6 — تسجيل نقاط النهاية. فعّل حماية العبث لـDefender (أو EDR المُختار)، وتأكد من أن السجلات تُشحن إلى مكان محفوظ لمدة 30 يوماً على الأقل، ووسم المضيفات الحرجة (متحكمات النطاق، خوادم النسخ الاحتياطي، خوادم الملفات) لتنبيه بأولوية عالية.

اليوم 7 — اكتب دليل الحوادث في صفحة واحدة. بمن تتصل في الساعة الثانية صباحاً؟ أي MSSP أو شريك Microsoft؟ من له الصلاحية القانونية لإعلان الحادث؟ وثيقة من صفحة واحدة معلّقة في غرفة العمليات أكثر فائدة من خطة 50 صفحة لا يفتحها أحد.

ما ينبغي للشركة الصغيرة أو المتوسطة الجزائرية أن تُخصّص له ميزانية للربع القادم

بعد سباق الأسبوع، ثلاثة استثمارات تُسدّد نفسها إذا وقع حادث فدية:

EDR أو MDR مُدار. بالنسبة لمعظم الشركات الصغيرة والمتوسطة الجزائرية، التعاقد على MDR على مدار الساعة عبر شريك محلي أرخص من توظيف محلل للمناوبة الثانية. Microsoft Defender for Business مع طبقة MDR نقطة انطلاق معقولة.
تقييم التأمين السيبراني. حتى دون شراء وثيقة، تُظهر استبيانات الاكتتاب فجوات في الضوابط قد لا تكون تقنية المعلومات قد لاحظتها (تغطية MFA، عدم قابلية التعديل للنسخ الاحتياطية، نشر EDR). استخدم التمرين بوصفه استشارة مجانية.
تمرين طاولة. محاكاة ساعتين بعنوان «Qilin نشرتكم على موقع التسريب» مع المدير العام ومدير العمليات والشؤون القانونية وتقنية المعلومات معاً تكشف فجوات اتخاذ القرار (الدفع أم لا، متى يُبلَّغ البنك، متى تُعلَم ARPCE أو ANSSI). نفّذها مرة في السنة.

ما يبقى أمام المدافعين الجزائريين

Qilin وDragonForce لن تختفيا، ولا نموذج الكارتل الذي صنّعهما. لكن عتبة الجاهزية لمقاومتهما منخفضة عن قصد — هؤلاء المشغّلون يعتمدون على نقاط ضعف شائعة. شركة صغيرة أو متوسطة جزائرية تُنفق أسبوعاً مركّزاً على الدليل أعلاه، وتُخصّص ميزانية لـMDR وتمرين طاولة خلال الربع القادم، تنتقل من «هدف سهل» إلى «لا يستحق الجهد». هذا الطموح الواقعي لعام 2026.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل تستهدف Qilin وDragonForce الجزائر تحديداً؟

تُظهر بيانات مواقع التسريب العامة لعام 2026 أن Qilin وDragonForce تضربان منظمات متوسطة الحجم عالمياً، دون حملة محددة ضد الجزائر حتى الآن. ومع ذلك، يعتمد نموذج أعمالهما على الاستغلال الانتهازي لـVPN مكشوفة وMFA ضعيف وأجهزة محيط غير مُرقَّعة — وهي ثغرات شائعة في المنظمات متوسطة الحجم حول العالم، بما فيها الجزائر. لذا ينبغي أن يقود الانكشافُ الجاهزيةَ لا افتراضات الاستهداف الجغرافي.

ما الضابط الأهم للجاهزية ضد برامج الفدية؟

نسخ احتياطية غير متصلة وغير قابلة للتعديل لا يمكن الوصول إليها من النطاق. معظم حوادث Qilin وDragonForce التي تنتهي بسوء للضحايا تتشارك في النمط نفسه: وصل المهاجم إلى خادم النسخ الاحتياطي قبل التشفير. طبقة سحابية غير قابلة للتعديل أو tenant منفصل للنسخ الاحتياطية — مع اختبارات استعادة منتظمة — هو الاستثمار الدفاعي الأعلى مردوداً الذي يمكن لشركة صغيرة أو متوسطة جزائرية القيام به.

هل ينبغي للشركات الصغيرة والمتوسطة الجزائرية دفع الفدية في حال الاختراق؟

الدفع محفوف بالمخاطر: لا ضمان لاستعادة كاملة للبيانات، وكثيراً ما تُستهدف الضحايا الدافعة مرة ثانية، وقد تُطلق المدفوعات مراجعات لمكافحة غسيل الأموال مع البنوك المراسلة. المسار الأفضل هو الاستثمار في الوقاية والاستعادة، وإعداد قائمة اتصالات قانونية ومصرفية مسبقاً، والاستعانة بشركة استجابة حوادث متمرسة قبل اتخاذ قرارات الدفع. تمرين طاولة مع المدير العام والمستشار القانوني وتقنية المعلومات، يُنفَّذ مرة في السنة، هو أرخص طريقة لاختبار هذا القرار قبل حادث فعلي.