لماذا تُعرّف Qilin وDragonForce برامج الفدية في 2026
تُهيمن علامتان تجاريتان لبرامج الفدية على أغلب الضوضاء في مواقع التسريب بالدارك ويب. تقرير الاتجاهات الأسبوعي من Ransom-DB للفترة 8-15 أبريل 2026 يضع Qilin كأنشط مجموعة بـ20 ضحية وDragonForce خلفها مباشرةً بـ19، ويمثلان معاً 21% من الحجم العالمي لبرامج الفدية تلك الأسبوع. يُفيد Infosecurity Magazine، نقلاً عن بيانات NCC Group، بأن Qilin (20%) وAkira (12%) وDragonForce (8%) قادت 40% من 672 هجمة فدية في مارس 2026.
تحوّلان بنيويان يُفسّران الطفرة:
- Qilin ناضجة تشغيلياً. حمولاتها المكتوبة بلغة Rust، وتكتيكات الابتزاز المتعدد، وموقع تسريب البيانات كلها تعمل على نطاق واسع، وفق Barracuda Networks.
- DragonForce استوعبت التابعين. Dark Reading يُفصّل نموذج كارتل بعلامة بيضاء مُبنياً مع LockBit وQilin، يسمح للتابعين بتشغيل علامات مستقلة على بنية تحتية مشتركة؛ وDragonForce استوعبت مشغّلي RansomHub المُزاحين بعد تصدّع ذلك النظام البيئي.
النتيجة العملية للشركات الصغيرة والمتوسطة الجزائرية: أنت أكثر عرضة لمواجهة أحد هؤلاء المشغّلين مقارنةً بأي فاعل تهديد مُفصّل خصيصاً، ودليلهم مبني حول قائمة قصيرة من نقاط الضعف المتكررة.
نقاط الضعف المتكررة التي تستغلها هاتان المجموعتان
تتقاطع التقارير العامة حول اختراقات Qilin وDragonForce في نمط مألوف:
- الوصول الأولي عبر VPN أو بوابة سطح مكتب بعيد بمصادقة متعددة العوامل ضعيفة (غالباً بدون أي MFA على الحافة).
- سرقة بيانات الاعتماد عبر أدوات تصيّد وinfostealers، بما في ذلك مشغّلون يشترون الوصول من وسطاء الوصول الأولي.
- رفع الامتيازات عبر مضيفات Windows أو Exchange أو مشرفات افتراضية غير مُرقّعة.
- إخراج البيانات قبل التشفير لتفعيل ضغط الابتزاز المتعدد — نشر البيانات حتى إن استطاعت الضحية الاستعادة من النسخ الاحتياطي.
- استهداف البنية التحتية للنسخ الاحتياطي (خوادم Veeam، حجوم النسخ الاحتياطي المنضمّة إلى النطاق) لكسر الاستعادة قبل التفجير.
لا يتطلب أي من هذه ثغرة zero-day. تُشير تحليل Todyl لتحالف LockBit–Qilin–DragonForce إلى أن الكارتل صنّع عن قصد عملية تأهيل التابعين بحيث يستطيع أي مشغّل متوسط المهارة إعادة إنتاج السلسلة.
إعلان
دليل جاهزية لأسبوع واحد للشركات الصغيرة والمتوسطة في الجزائر
شركة تجارة جزائرية أو مشغّل لوجستي أو مُصنّع متوسط الحجم لا يحتاج إلى SOC كبير. يحتاج إلى برنامج مُكثّف من المكاسب الدفاعية. نفّذ ما يلي على مدى أسبوع:
اليوم 1 — MFA على كل نقطة دخول خارجية. VPN وRDP وOutlook Web Access ومسؤول O365 وcPanel — دون استثناءات. إذا لم يكن المنتج يدعم MFA، ضعه خلف reverse proxy أو بوابة SSO تدعمه.
اليوم 2 — نسخ احتياطية منفصلة وغير متصلة. تأكد من وجود نسخة احتياطية واحدة على الأقل لا يمكن الوصول إليها من خادم النسخ الاحتياطي المنضم إلى النطاق. الطبقات السحابية غير القابلة للتعديل (AWS S3 Object Lock، Azure Blob immutability)، أو الشريط، أو tenant منفصل، كلها مقبولة؛ لكن مستودع Veeam محلياً على نفس AD ليس مقبولاً.
اليوم 3 — رقّع الصناديق الثلاثة التي تهمّ. جدار الحماية / جهاز VPN المكشوف على الإنترنت، وخادم البريد، ومتحكمات النطاق. هذه الصناديق الثلاثة تُغطّي نحو 80% من تقنيات الوصول الأولي الشائعة. تقرير Check Point لتهديدات مارس 2026 يُشير إلى أن فاعلي برامج الفدية يواصلون التحوّل سريعاً إلى ثغرات VPN والمحيط المُعلنة.
اليوم 4 — نظافة بيانات الاعتماد. افرض تدوير كلمات المرور على حسابات المسؤولين، وعطّل الحسابات الخاملة، ودقّق حسابات الخدمة التي تحمل حقوق مسؤول نطاق. أضف سياسات conditional access تحجب عمليات تسجيل الدخول من بلدان غير متوقعة.
اليوم 5 — محاكاة تصيّد + تدريب استجابة. نفّذ تمرين تصيّد داخلي بسيط. قِس كم يستغرق وصول رسالة تصيّد مُبلَّغ عنها إلى شخص قادر فعلاً على التحقيق والحجب. إذا تجاوز هذا الرقم ساعة واحدة، فهذه أكبر فجوة لديك.
اليوم 6 — تسجيل نقاط النهاية. فعّل حماية العبث لـDefender (أو EDR المُختار)، وتأكد من أن السجلات تُشحن إلى مكان محفوظ لمدة 30 يوماً على الأقل، ووسم المضيفات الحرجة (متحكمات النطاق، خوادم النسخ الاحتياطي، خوادم الملفات) لتنبيه بأولوية عالية.
اليوم 7 — اكتب دليل الحوادث في صفحة واحدة. بمن تتصل في الساعة الثانية صباحاً؟ أي MSSP أو شريك Microsoft؟ من له الصلاحية القانونية لإعلان الحادث؟ وثيقة من صفحة واحدة معلّقة في غرفة العمليات أكثر فائدة من خطة 50 صفحة لا يفتحها أحد.
ما ينبغي للشركة الصغيرة أو المتوسطة الجزائرية أن تُخصّص له ميزانية للربع القادم
بعد سباق الأسبوع، ثلاثة استثمارات تُسدّد نفسها إذا وقع حادث فدية:
- EDR أو MDR مُدار. بالنسبة لمعظم الشركات الصغيرة والمتوسطة الجزائرية، التعاقد على MDR على مدار الساعة عبر شريك محلي أرخص من توظيف محلل للمناوبة الثانية. Microsoft Defender for Business مع طبقة MDR نقطة انطلاق معقولة.
- تقييم التأمين السيبراني. حتى دون شراء وثيقة، تُظهر استبيانات الاكتتاب فجوات في الضوابط قد لا تكون تقنية المعلومات قد لاحظتها (تغطية MFA، عدم قابلية التعديل للنسخ الاحتياطية، نشر EDR). استخدم التمرين بوصفه استشارة مجانية.
- تمرين طاولة. محاكاة ساعتين بعنوان «Qilin نشرتكم على موقع التسريب» مع المدير العام ومدير العمليات والشؤون القانونية وتقنية المعلومات معاً تكشف فجوات اتخاذ القرار (الدفع أم لا، متى يُبلَّغ البنك، متى تُعلَم ARPCE أو ANSSI). نفّذها مرة في السنة.
ما يبقى أمام المدافعين الجزائريين
Qilin وDragonForce لن تختفيا، ولا نموذج الكارتل الذي صنّعهما. لكن عتبة الجاهزية لمقاومتهما منخفضة عن قصد — هؤلاء المشغّلون يعتمدون على نقاط ضعف شائعة. شركة صغيرة أو متوسطة جزائرية تُنفق أسبوعاً مركّزاً على الدليل أعلاه، وتُخصّص ميزانية لـMDR وتمرين طاولة خلال الربع القادم، تنتقل من «هدف سهل» إلى «لا يستحق الجهد». هذا الطموح الواقعي لعام 2026.
الأسئلة الشائعة
هل تستهدف Qilin وDragonForce الجزائر تحديداً؟
تُظهر بيانات مواقع التسريب العامة لعام 2026 أن Qilin وDragonForce تضربان منظمات متوسطة الحجم عالمياً، دون حملة محددة ضد الجزائر حتى الآن. ومع ذلك، يعتمد نموذج أعمالهما على الاستغلال الانتهازي لـVPN مكشوفة وMFA ضعيف وأجهزة محيط غير مُرقَّعة — وهي ثغرات شائعة في المنظمات متوسطة الحجم حول العالم، بما فيها الجزائر. لذا ينبغي أن يقود الانكشافُ الجاهزيةَ لا افتراضات الاستهداف الجغرافي.
ما الضابط الأهم للجاهزية ضد برامج الفدية؟
نسخ احتياطية غير متصلة وغير قابلة للتعديل لا يمكن الوصول إليها من النطاق. معظم حوادث Qilin وDragonForce التي تنتهي بسوء للضحايا تتشارك في النمط نفسه: وصل المهاجم إلى خادم النسخ الاحتياطي قبل التشفير. طبقة سحابية غير قابلة للتعديل أو tenant منفصل للنسخ الاحتياطية — مع اختبارات استعادة منتظمة — هو الاستثمار الدفاعي الأعلى مردوداً الذي يمكن لشركة صغيرة أو متوسطة جزائرية القيام به.
هل ينبغي للشركات الصغيرة والمتوسطة الجزائرية دفع الفدية في حال الاختراق؟
الدفع محفوف بالمخاطر: لا ضمان لاستعادة كاملة للبيانات، وكثيراً ما تُستهدف الضحايا الدافعة مرة ثانية، وقد تُطلق المدفوعات مراجعات لمكافحة غسيل الأموال مع البنوك المراسلة. المسار الأفضل هو الاستثمار في الوقاية والاستعادة، وإعداد قائمة اتصالات قانونية ومصرفية مسبقاً، والاستعانة بشركة استجابة حوادث متمرسة قبل اتخاذ قرارات الدفع. تمرين طاولة مع المدير العام والمستشار القانوني وتقنية المعلومات، يُنفَّذ مرة في السنة، هو أرخص طريقة لاختبار هذا القرار قبل حادث فعلي.
المصادر والقراءات الإضافية
- Weekly Ransomware Trends April 2026: Qilin & DragonForce — Ransom-DB
- Just Three Ransomware Gangs Accounted for 40% of Attacks Last Month — Infosecurity Magazine
- Nearly half of March ransomware attacks tied to just 3 groups — SC Media
- Qilin ransomware surges into 2026 — Barracuda Networks Blog
- LockBit, Qilin & DragonForce Form Ransomware ‘Cartel’ — Dark Reading
- The Rise of a Cybercrime Alliance — Todyl
- March 2026 Cyber Threat Report: Ransomware & GenAI Risk — Check Point
🔗 مقالات ذات صلة
تحول التمويل الأفريقي بـ705 مليون دولار: لماذا الدَّين يتفوق على رأس المال
النقطة العمياء في خوادم الويب الجزائرية: لماذا تكشف ثغرة ImageMagick فجوة أمنية أعمق
فخ الدفع عند الاستلام: كيف يخنق COD التجارة الإلكترونية في الجزائر
منصة anae.dz: كيف يُضفي وضع المقاول الذاتي الطابع الرسمي على اقتصاد العمل الحر الرقمي في الجزائر
