الواقع الجديد للفدية: 2,122 ضحية في الربع الأول 2026

نُشر في مايو 12, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

استقرت برمجيات الفدية عند مستوى مرتفع ومقلق: سجّل تقرير GRIT الربع الأول 2026 الصادر عن GuidePoint Security 2,122 ضحية على مواقع تسريب البيانات — ثاني أعلى ربع أول على الإطلاق — بمعدل 150 إلى 200 منشور أسبوعياً ثابت على أساس سنوي. أفادت Dragos كذلك بأن 119 مجموعة فدية استهدفت 3,300 منظمة صناعية حول العالم في 2025، بارتفاع 49% مقارنةً بـ 80 مجموعة في العام السابق، مع متوسط وقت بقاء يبلغ 42 يوماً في بيئات التكنولوجيا التشغيلية.

الخلاصة: يجب على فرق المخاطر المؤسسية استبدال نماذج مخاطر الفدية القائمة على الأحداث بنهج قائم على التعرض، ومراجعة تغطيات تأمين الفدية لتحديد ثغرات الابتزاز المزدوج وتعطيل التكنولوجيا التشغيلية، ونشر مراقبة سلبية لشبكات OT لتقليص متوسط وقت البقاء البالغ 42 يوماً.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الصلة بالجزائر
متوسطة
▾

يمتلك القطاع الصناعي الجزائري (Sonatrach وSonelgaz وSAIDAL) والشبكة الاستشفائية العامة بيئات تكنولوجيا تشغيلية وأنظمة تحكم صناعية تنطبق عليها ملامح التهديد وفق Dragos. ارتفاع 49% في المجموعات يعني أن مزيداً من الشركاء يبحثون عن أهداف، بما فيها الأسواق الأفريقية والشرق أوسطية التي كانت ثانوية سابقاً.

البنية التحتية جاهزة؟
جزئياً
▾

تمتلك الشركات العامة الكبرى في الجزائر أمناً أساسياً لتقنية المعلومات؛ لكن المراقبة المخصصة لأنظمة التكنولوجيا التشغيلية محدودة بعدد صغير من مشغّلي البنى التحتية الحيوية. يُرجَّح أن يسري متوسط وقت البقاء البالغ 42 يوماً على معظم البيئات الصناعية الجزائرية دون استثمار محدد في مراقبة التكنولوجيا التشغيلية.

المهارات متوفرة؟
محدودة
▾

التخصص في الأمن السيبراني للتكنولوجيا التشغيلية من أندر المهارات على مستوى عالمي. يعتمد المشغّلون الجزائريون للتكنولوجيا التشغيلية بشكل أساسي على شركات استشارية فرنسية أو خليجية لتقييمات أمن التكنولوجيا التشغيلية. القدرة المحلية في نمو لكنها متأخرة سنوات عن مستوى التهديد.

الجدول الزمني للعمل
6-12 شهراً
▾

ينبغي للمؤسسات الصناعية الجزائرية بدء تقييمات الرؤية في التكنولوجيا التشغيلية خلال السنة المالية الحالية وتحديث وثائق تأمين برمجيات الفدية عند التجديد القادم. تُتاح التغذيات الاستخباراتية للتهديدات الخاصة بالقطاع (OPSWAT وDragos وClaroty) للمشغّلين الجزائريين.

أصحاب المصلحة الرئيسيون
مديرو أمن المعلومات في الشركات الصناعية، وفرق أمن تقنية المعلومات والتكنولوجيا التشغيلية في Sonelgaz وSonatrach، وASSI، ووزارة الطاقة

نوع القرار
استراتيجي
▾

يستلزم المستوى المرجعي الجديد للمخاطر تغييرات هيكلية في نماذج المخاطر ووضع التأمين والاستثمار في مراقبة التكنولوجيا التشغيلية — لا استجابات تكتيكية قصيرة المدى.

خلاصة سريعة: ينبغي للمشغّلين الصناعيين الجزائريين معالجة 150 ضحية لبرمجيات الفدية أسبوعياً عالمياً بوصفه المستوى المرجعي التشغيلي لا حدثاً استثنائياً، وبناء وضع التعافي وفق ذلك. الأولوية الفورية هي نشر مراقبة سلبية لشبكات التكنولوجيا التشغيلية لضغط متوسط وقت البقاء البالغ 42 يوماً، يعقبه تحديث التغطية التأمينية لتشمل الابتزاز المزدوج وتعطل التكنولوجيا التشغيلية. ينبغي لـ ASSI تسريع توجيهاتها حول التغذيات الاستخباراتية للتهديدات الخاصة بالقطاع لمشغّلي البنى التحتية الحيوية.

حين يصبح “المرتفع” هو المستوى المرجعي

لا تزال المحادثة المعيارية حول مخاطر برمجيات الفدية في المؤسسات تُصوّر التهديد على شكل حدث استثنائي: ارتفاع غير عادي يستدعي استجابة استثنائية يعقبه عودة إلى وضع أكثر هدوءاً. هذا التأطير بات خاطئاً من الناحية الواقعية.

وثّق تقرير GRIT للربع الأول 2026 الصادر عن GuidePoint Security 2,122 ضحية نُشرت على مواقع تسريب البيانات خلال الربع — ثاني أعلى ربع أول على الإطلاق. بلغت معدلات نشر الضحايا في المتوسط 150 إلى 200 أسبوعياً، مستقرةً من ربع لآخر ومن سنة لأخرى. وصفت تحليلات Industrial Cyber هذا بأنه بلوغ برمجيات الفدية “مستوىً جديداً مرتفعاً مرجعياً” — الهضبة التي كان مديرو المخاطر يأملون أن تعقب حملة القمع المستدامة. حملة القمع حدثت. واستقرت الهضبة عند مستوى لا يزال كارثياً وفق أي معيار تاريخي.

أضاف تقرير Dragos السنوي 2026 لأمن التكنولوجيا التشغيلية البُعد الصناعي: استهدفت 119 مجموعة فدية 3,300 منظمة صناعية حول العالم في 2025، بارتفاع 49% مقارنةً بـ 80 مجموعة كانت نشطة العام السابق. شكّل قطاع التصنيع أكثر من ثلثَي الضحايا الصناعيين. الزيادة ليست من مجموعات قائمة تتضخم — بل من مجموعات جديدة تدخل السوق، خافضةً عتبة التطور المتوسط وموسّعةً نطاق الأهداف.

النظام البيئي صار صناعياً

ما تعنيه 119 مجموعة لنموذج مخاطرك

بُني نموذج مخاطر برمجيات الفدية المعتاد للمؤسسات لعالم مؤلف من 15 إلى 20 مجموعة رئيسية يمكن تتبّع أساليبها وتقنياتها وإجراءاتها، وإحباط بنيتها التحتية جزئياً من قِبل جهات إنفاذ القانون، والتنبؤ بشكل نسبي بمعايير استهدافها. عالم من 119 مجموعة تركّز على الصناعة يتصرف بطريقة مختلفة. تنبثق عن هذا التكاثر عدة تغييرات هيكلية:

أبرز تقرير GuidePoint للربع الأول 2026 مجموعة The Gentlemen، وهي مجموعة برمجيات الفدية كخدمة التي ظهرت في أغسطس 2025 وقفزت من 35 ضحية في الربع الرابع 2025 إلى 182 في الربع الأول 2026، لتصبح المجموعة الثانية الأكثر نشاطاً عالمياً. انخفضت المجموعتان الراسختان Qilin وAkira بنسبة 25% و22% على التوالي خلال الفترة ذاتها. هذا التذبذب — مجموعات جديدة تصعد سريعاً فيما تتراجع أخرى — يعني أن الاستخبارات حول “مجموعات التهديد النشطة” تصبح قديمة بوتيرة أسرع. ملف خصم بُني في الربع الرابع 2025 قد يكون غير ذي صلة إلى حد بعيد بحلول الربع الثاني 2026 إذا كانت المجموعة المسؤولة عن 40% من هجمات قطاعك قد خُلِفت بداخل جديد.

نموذج RaaS (برمجيات الفدية كخدمة) يقود هذا التكاثر. توفر مجموعات كـ The Gentlemen بنية تحتية لبرمجيات الفدية — أدوات تشفير ومنصات تفاوض ومواقع تسريب — للشركاء الذين يتولّون الوصول الأولي واختيار الضحية. ينضم الشركاء ويغادرون الأنظمة البيئية بحرية. انخفضت حاجز الدخول لحملة فدية جديدة إلى: شراء وصول أولي من وسيط وصول، واستئجار بنية تحتية RaaS، واختيار ضحية. دون الحاجة إلى تطوير برمجيات خبيثة. ودون بناء بنية تحتية دائمة للمجموعة. هذه هي الصناعية التي تنتج 119 مجموعة.

ظهور قطاع البناء — مؤشر رائد

أظهرت بيانات GuidePoint للربع الأول 2026 انضمام البناء إلى أكثر خمس صناعات تضرراً بـ 131 ضحية — ارتفاع 44% على أساس سنوي. بقي التصنيع الأكثر استهدافاً. حافظت الرعاية الصحية والخدمات المالية على موضعَيهما. ظهور قطاع البناء مهم ليس لأن البناء ذو قيمة استثنائية (لا يضاهي الخدمات المالية) بل لأنه يُشير إلى أن الشركاء المنفّذين يستنفدون الأهداف الأولية ويوسّعون نطاق بحثهم. مع تحسّن الدفاعات في القطاعات المستهدفة تاريخياً، ينتقل الشركاء إلى قطاعات ذات نضج دفاعي أدنى. ينبغي لأي قطاع كان مرتاحاً بوصفه هدفاً ثانوياً أن يعامل ظهور قطاع البناء تحذيراً لمدة 12 شهراً.

التكنولوجيا التشغيلية/أنظمة التحكم الصناعية: مشكلة وقت البقاء

وثّق تقرير Dragos متوسطاً صناعياً لوقت بقاء برمجيات الفدية في بيئات التكنولوجيا التشغيلية (OT) قبل الكشف والاحتواء يبلغ 42 يوماً. كشفت المنظمات ذات الرؤية الشاملة للبيئة التشغيلية عن برمجيات الفدية واحتوتها في غضون 5 أيام في المتوسط. الفجوة بين 42 و5 أيام ليست اختلافاً طفيفاً في الكفاءة — بل الفرق بين حادثة محتواة واختراق كامل للبيئة التشغيلية مع تداعيات عملياتية مادية. أشار تقرير التهديدات 2026 الصادر عن Waterfall Security بالمقابل إلى ضاعفة الهجمات الحكومية والهاكتيفيست ضد البنى التحتية الصناعية في 2025 مقارنةً بـ 2024، مما يُضاعف انكشاف برمجيات الفدية بناقل تهديد ثانٍ يجب على فرق التكنولوجيا التشغيلية نمذجته في آنٍ واحد.

ما يجب على فرق إدارة مخاطر المؤسسات فعله تجاه المستوى المرجعي الجديد

1. استبدال “تكلفة التعافي من برمجيات الفدية” بـ”الانكشاف المرجعي لبرمجيات الفدية” في نموذج مخاطرك

تعامل معظم نماذج مخاطر المؤسسات برمجياتِ الفدية كحدث ذي احتمالية وتكلفة. مع نشر 150 إلى 200 ضحية أسبوعياً على المستوى العالمي — مركّزة في التصنيع والرعاية الصحية والخدمات المالية والبناء الآن — لم تعد السؤال “ما احتمالية تعرّضنا للهجوم؟” هو الصياغة الصحيحة لأي منظمة تتجاوز عتبة إيرادية معينة في قطاع مستهدف. السؤال هو “ما وضعنا الراهن من التعافي، وما فئات انكشافنا للابتزاز؟” حدّث سجل مخاطرك لاستبدال احتمالية الحدث الواحد بنموذج قائم على الانكشاف: مسؤولية تسريب البيانات (الغرامات التنظيمية والدعاوى الجماعية)، وتكلفة التعطل التشغيلي يومياً، وانكشاف التفاوض على الفدية، والخسارة في السمعة. لهذه الفئات الأربع استراتيجيات تخفيف مختلفة وينبغي تتبّعها بصورة منفصلة.

2. تدقيق تغطية تأمين برمجيات الفدية مقابل نموذج التهديد الحالي

تُظهر بيانات GuidePoint أن طلبات الفدية استمرت في الارتفاع حتى مع استقرار حجم الهجمات. تحمل كثير من المؤسسات وثائق تأمين على برمجيات الفدية اكتُتب عليها بناءً على نماذج التهديد 2023–2024. راجع وثيقتك الحالية في ضوء ثلاثة أسئلة: هل تغطي الوثيقة الابتزاز المزدوج (تسريب البيانات بالإضافة إلى التشفير)؟ هل تغطي الابتزاز متعدد الأطراف (عدة مجموعات تحتجز البيانات في آنٍ واحد)؟ هل تغطي تعطل أنظمة التكنولوجيا التشغيلية/أنظمة التحكم الصناعية، أم تقتصر على تعطل أنظمة IT؟ الوثائق التي تُخفق في أي من هذه النقاط الثلاث تمتلك ثغرات في التغطية سيكشفها نموذج التهديد 2026. تجديدات التأمين في 2026 لحظة بعينها لمعالجة هذه الثغرات؛ انتظار حادثة لاكتشافها متأخر جداً.

3. دمج تغذية استخباراتية عن التهديدات خاصة بقطاعك في دورة مراجعة المخاطر

يعني تكاثر 119 مجموعة أن استخبارات التهديدات العامة حول برمجيات الفدية — “برمجيات الفدية نشطة، حافظ على التحديثات” — كفّت عن توفير إشارة ذات صلة بالقرار. تحتاج فرق إدارة مخاطر المؤسسات إلى استخبارات خاصة بالقطاع: المجموعات التي تستهدف قطاعك حالياً، وناقلات وصولها الأولية الراهنة (التصيد أو RDP المكشوف أو ثغرات VPN)، ومتوسط طلب الفدية لحجم منظمتك. هذه الاستخبارات متاحة عبر عضويات ISAC التجارية (مراكز تبادل ومشاركة المعلومات)، وعبر موردين كـ Dragos (لقطاعات التكنولوجيا التشغيلية/أنظمة التحكم الصناعية)، وعبر تقارير GRIT الفصلية الصادرة عن GuidePoint. أنشئ اجتماعاً ربع سنوياً لمراجعة مخاطر برمجيات الفدية يعتمد هذه الاستخبارات بدلاً من الإحاطات العامة حول التهديدات.

4. سدّ فجوة وقت البقاء البالغة 42 يوماً في التكنولوجيا التشغيلية — إنه الضابط الأعلى تأثيراً

بالنسبة للمنظمات التي تمتلك أي بيئة تكنولوجيا تشغيلية — تصنيع وطاقة ومرافق وأجهزة رعاية صحية وإدارة مبانٍ — يُعدّ استنتاج Dragos نقطة البيانات الأكثر قابلية للتطبيق في مشهد برمجيات الفدية 2026. بيئات التكنولوجيا التشغيلية التي تمتلك رؤية شاملة تكشف عن برمجيات الفدية وتحتويها في 5 أيام في المتوسط. أما البيئات بلا رؤية فمتوسطها 42 يوماً. فجوة الضابط هي مراقبة شبكة التكنولوجيا التشغيلية: أدوات تحليل حركة المرور السلبية (كـ Dragos Platform وClaroty وNozomi Networks) التي توفر رؤية على اتصالات شبكة التكنولوجيا التشغيلية دون تعطيل العمليات. إذا لم تمتلك بيئتك التشغيلية أي أداة مراقبة مخصصة، فإن وقت البقاء البالغ 42 يوماً هو مستواك المرجعي الحالي. سُدَّ الفجوة.

سيناريو التصحيح — ما لا يعنيه الاستقرار

كثيراً ما يُؤطَّر الاستقرار عند 150 إلى 200 ضحية أسبوعياً بتفاؤل: على الأقل لم يعد يتنامى بصورة متسارعة. هذا التأطير منقوص. يُخفي الحجم المرتفع المستقر تغييرَين هيكليَّين يجعلان الهضبة أخطر من الارتفاع المستمر بعض الشيء.

أولاً، مع استقرار حجم الهجمات، ارتفعت تطور المهاجمين. أفادت Dragos بأن الخصوم يتقدمون من استهداف أجهزة منعزلة إلى رسم خرائط لبنى كاملة من أنظمة التحكم الصناعي قبل نشر برمجيات الفدية — مما يُجسّد نضجاً في الإعداد يمدّد وقت البقاء ويعظّم التعطيل. عدد ثابت من الهجمات لا يعني خطورة ثابتة للهجمات.

ثانياً، لم تنجح جهود إنفاذ القانون في خفض المستوى المرجعي، بل في إحباط مجموعات بعينها. ينتقل شركاء كل مجموعة محبَطة إلى منصات RaaS جديدة ويواصلون العمل. حتى تُحبَط اقتصاديات برمجيات الفدية هيكلياً — سوق وسطاء الوصول، وبنية تحتية غسيل العملات المشفرة، ومنصات التفاوض على الفدية — فإن تصرف جهات إنفاذ القانون يشبه ضرب الطوابير في لعبة “اضرب الخلد”، يؤثر في توزيع الهجمات بين المجموعات لا في حجمها الكلي. لا ينبغي لفرق إدارة مخاطر المؤسسات التخطيط لانخفاض مستدام في حجم الهجمات. ينبغي التخطيط لـ 150 إلى 200 ضحية أسبوعياً لمستقبل منظور وبناء وضع التعافي وفق ذلك.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

لماذا استقرت برمجيات الفدية عند مستوى مرتفع بدلاً من الاستمرار في النمو أو التراجع؟

يعكس الاستقرار سوقاً إجرامياً ناضجة وجدت مستواها التشغيلي الطبيعي في ظل ضغط جهات إنفاذ القانون الراهن، وتصلّب الضحايا، وطاقة بنية تحتية برمجيات الفدية كخدمة. أزالت إجراءات إنفاذ القانون (LockBit وALPHV) الحجم من مجموعات بعينها لكن لم تُقلص العدد الإجمالي للشركاء المدرّبين في النظام البيئي — هؤلاء الشركاء انتقلوا إلى منصات جديدة. في الوقت ذاته، رفع تصلّب الضحايا (نسخ احتياطية أفضل وكشف أسرع) سرعة التعافي، مخفّضاً متوسط دفع الفدية مقارنةً بذروة 2021–2022. الهضبة المستقرة المرتفعة هي التوازن بين هذه القوى. سيتطلب انخفاض مستدام إما اختراقاً تقنياً رئيسياً يُحيّد جمع الفدية المستند إلى العملات المشفرة، أو إجراء جهات إنفاذ القانون ضد أسواق وسطاء الوصول التي تغذي الاختراقات الأولية.

ما الفرق بين الابتزاز المزدوج وبرمجيات الفدية العادية، ولماذا تهم الثغرة في التأمين؟

تُشفّر برمجيات الفدية العادية بيانات الضحية وتطالب بدفع مقابل مفتاح فك التشفير. يضيف الابتزاز المزدوج خطوة سابقة لتسريب البيانات: يسرق المهاجم البيانات أولاً ثم يشفّرها، ويهدد بنشر البيانات المسروقة إن لم تُدفع الفدية — مانحاً إياه ورقة ضغط حتى لو استعادت الضحية من نسخة احتياطية. اكتشفت كثير من المنظمات أن وثائق تأمين برمجيات الفدية لديها غطّت التشفير (انقطاع الأعمال واستعادة الأنظمة) لكنها لم تغطِّ التسريب (الغرامات التنظيمية ومسؤولية الدعاوى الجماعية وتكاليف الإخطار). في ولاية قضائية تسري فيها GDPR أو قانون حماية بيانات مكافئ، قد تتجاوز مسؤولية التسريب طلب الفدية بعشرة أضعاف. الثغرة في التأمين هي الفرق بين خسارة مُغطاة وأزمة تنظيمية غير مُغطاة.

بالنسبة لمنظمة متوسطة الحجم خارج القطاعات الأولية المستهدفة ببرمجيات الفدية، هل هذه البيانات ذات صلة؟

نعم. نقطة البيانات ذات الصلة هي ارتفاع ضحايا قطاع البناء بنسبة 44% على أساس سنوي. يستهدف شركاء برمجيات الفدية القطاعات الأولية أولاً (التصنيع والرعاية الصحية والخدمات المالية) ثم يتوسعون حين تتحسن الدفاعات في تلك القطاعات. برز البناء كهدف ضمن أعلى خمسة في الربع الأول 2026 بالضبط لأنه كان يمتلك نضجاً دفاعياً متوسطاً أدنى من القطاعات المستهدفة تاريخياً. ينبغي لأي قطاع يقع خارج أعلى خمسة حالياً أن يعامل ظهور قطاع البناء مؤشراً رائداً: إذا كان نضجك الدفاعي أدنى مما كان عليه البناء قبل عامين، فأنت في مسار التوسع. الضيافة واللوجستيات والخدمات المهنية هي القطاعات الأرجح لمشاهدة ارتفاعات ملموسة في حجم برمجيات الفدية قريباً.

—