لماذا تتخلى مجموعات الفدية عن التشفير
لأكثر من عقد كان نموذج الأعمال لبرامج الفدية يُعرَّف بخطوة تقنية واحدة: تشفير ملفات الضحية، والمطالبة بالدفع مقابل مفتاح فك التشفير، والاستفادة من الشلل التشغيلي الذي يُحدثه التشفير. طُوِّرت الدفاعات القائمة على النسخ الاحتياطي استجابةً لذلك. لكجزء كبير من المنظمات التي استثمرت في نسخ احتياطية غير متصلة بالإنترنت أو غير قابلة للتغيير، نجح هذا الدفاع. لاحظت مجموعات برامج الفدية ذلك.
ارتفعت هجمات الفدية المُبلَّغ عنها علنًا 47% على أساس سنوي في 2025 — من نحو 4,900 حادثة مسجَّلة في 2024 إلى 7,200 في 2025 — بينما انخفضت إيرادات برامج الفدية بشكل متناقض خلال نفس الفترة. يكشف هذا الاختلاف عن الآلية: نجح دفاع النسخ الاحتياطي بما يكفي لإضعاف معدلات الدفع مما أخفض الإيرادات لكل هجوم. كان رد المهاجمين عقلانيًا وسريعًا: إذا كان التشفير هو المكوّن الذي تعلمت الضحايا التصدي له، فلنُزيل التشفير من المعادلة.
بيانات الربع الأول من 2026 تؤكد الطابع الهيكلي لهذا التحول. مجموعة The Gentlemen التي تستخدم حصريًا الابتزاز القائم على التسريب، نمت من 35 ضحية في الربع الرابع من 2025 إلى 182 ضحية في الربع الأول من 2026 — زيادة 420% خلال ربع واحد. ظلت Qilin المجموعة الأكثر نشاطًا بشكل عام بـ 361 ضحية في الربع الأول من 2026. NightSpire، مجموعة أحدث ظهرت في الربع الأول من 2026، تستهدف أجهزة الشبكة غير المُرقَّعة وتستخدم التسريب دون تشفير كآلية ابتزاز أساسية. كانت التصنيع القطاع الأكثر استهدافًا في الربع الأول من 2026، مع ارتفاع قطاع البناء 44% على أساس سنوي. استأثرت الولايات المتحدة بـ 51% من ضحايا الربع الأول من 2026.
إعلان
ثلاثة تغييرات هيكلية في وضعك تجاه الاستجابة للحوادث
يستلزم التحول نحو التسريب فقط وضعًا مختلفًا جوهريًا للاستجابة للحوادث. نموذج الاستجابة المتمحور حول النسخ الاحتياطي — العزل والاسترداد والاستئناف — عالج التشفير لكنه لا أثر له على البيانات المُسرَّبة بالفعل.
1. معاملة تصنيف البيانات كشرط مسبق للاستجابة للحوادث
حين تهدد مجموعة تسريب فقط بنشر البيانات ما لم يُدفع الفدية، أول سؤال يجب على مسؤول الأمن CISO الإجابة عنه هو: ما البيانات المُسرَّبة، وما العواقب التنظيمية والسمعوية لنشرها؟ بدون مخزون تصنيف بيانات حالي ودقيق، لا يمكن الإجابة على هذا السؤال في النافذة الزمنية البالغة 72 ساعة التي تُحددها معظم تهديدات الابتزاز.
يجب أن يُحدد تصنيف البيانات على الأقل: أي الأنظمة تحتوي على بيانات تعريف شخصية (PII) تُوجب إخطار GDPR أو ما يعادله، وأي الأنظمة تحتوي على ملكية فكرية يضر كشفها بالوضع التنافسي، وأي الأنظمة تحتوي على بيانات مشمولة بالسرية التعاقدية مع العملاء. يجب توثيق هذا التصنيف ومراجعته سنويًا وإتاحته بسهولة لفرق الاستجابة للحوادث.
2. نشر ضوابط منع فقدان البيانات (DLP) على مسارات التسريب
ثبات النسخ الاحتياطي يمنع أضرار التشفير لكنه لا يفعل شيئًا للكشف عن التسريب أو منعه. ضوابط DLP — المطبقة على الخروج من الشبكة وعلى نقطة النهاية وعلى طبقة التخزين السحابي — توفر قدرة كشف ومنع تُعالج تحديدًا نموذج التهديد القائم على التسريب فقط.
يستطيع DLP الشبكي عند المحيط الكشف عن نقل البيانات بحجم كبير إلى وجهات خارجية غير معتادة. يستطيع DLP نقطة النهاية منع نقل الملفات الجماعي إلى أجهزة USB أو عملاء مزامنة السحابة غير المعتمدين. الفجوة الأكثر شيوعًا في المؤسسات هي في الطبقة السحابية — تستخدم تقنيات التسريب الحديثة بصورة متزايدة بيانات اعتماد التخزين السحابي الخاصة بالمنظمة الضحية لتجهيز البيانات وتسريبها.
3. التفاوض المسبق على عقد استجابة لخروقات قبل وقوع الحادث
نافذة الابتزاز البالغة 72 ساعة التي تفرضها مجموعات التسريب فقط تخلق تحديًا في التفاوض لا تستطيع المنظمات دون تحضير مسبق مواجهته. قبل وقوع الحادث، تعاقد مع شركة أمن سيبراني ذات خبرة موثّقة في التفاوض بشأن برامج الفدية تحت اتفاقية عقد. تكلفة العقد السنوية 15,000–30,000 دولار للمنظمات المتوسطة الحجم وتوفر وصولًا فوريًا إلى: مفاوضين يفهمون أنماط دفع مجموعات التهديد الحالية، ومحللي استخبارات تهديدات يمكنهم تحديد مصدر الهجوم وتقييم سجل المجموعة، ومستشارين قانونيين ملمّين بالأبعاد التنظيمية لدفع الفدية.
ما الذي يأتي بعد ذلك
التحول نحو التسريب فقط ليس التطور النهائي لنموذج أعمال برامج الفدية — إنه التكرار الحالي في دورة تكيف مستمرة. تتوقع توقعات Recorded Future لعام 2026 أن يكون 2026 أول عام يتجاوز فيه الفاعلون الجدد خارج روسيا أولئك داخلها. تُجمَّع DDoS-as-a-Service مع ابتزاز التسريب فقط كرافعة ضغط ثانوية. تجنيد المطلعين — دفع مشغلي برامج الفدية للموظفين مقابل تقديم بيانات الاعتماد أو تعطيل ضوابط الأمان — مُوثَّق في عدة قضايا من 2025.
يجب أن يأخذ وضع الاستجابة للحوادث الآن بعين الاعتبار خصمًا فاز بالفعل قبل أن يبدأ التشفير — لأن التشفير لا يبدأ أبدًا. السؤال لم يعد “هل يمكننا الاسترداد؟” بل “ما عواقب النشر، وهل نحن مستعدون لإدارتها؟”
الأسئلة الشائعة
إذا سرّب مهاجم البيانات فقط دون تشفير، هل يضمن دفع الفدية عدم نشرها؟
لا — وهذا هو عدم التماثل الجوهري في نموذج التسريب فقط. في برامج الفدية القائمة على التشفير، كان دافع المهاجم لتقديم أداة فك التشفير متوافقًا مع الإيرادات المستقبلية. في ابتزاز التسريب فقط، تبقى نسخة البيانات على بنية تحتية المهاجم بصرف النظر عن الدفع. بعض المجموعات احترمت الدفع بعدم النشر؛ مجموعات أخرى قبلت الدفع ونشرت على أي حال.
كيف يتفاعل ابتزاز التسريب فقط مع GDPR أو لوائح حماية البيانات المماثلة؟
إذا تضمنت البيانات المُسرَّبة بيانات شخصية لمقيمين في الاتحاد الأوروبي، تستلزم المادة 33 من GDPR إخطار السلطة الإشرافية المختصة في غضون 72 ساعة من الاطلاع على الخرق — بصرف النظر عن دفع الفدية أو نشر البيانات. دفع الفدية لا يُزيل الالتزام بالإخطار التنظيمي.
ما القطاعات الأكثر استهدافًا من مجموعات التسريب فقط في 2026؟
تُحدد بيانات الربع الأول من 2026 التصنيع القطاعَ الأكثر استهدافًا بشكل عام، مع ارتفاع قطاع البناء 44% على أساس سنوي للدخول إلى القائمة الخمسة الأولى. قطاع الرعاية الصحية يبقى هدفًا مهمًا نظرًا لحساسية بياناته. الخدمات المالية والشركات التكنولوجية في القائمة الخمسة الأوائل باستمرار.
—
المصادر والقراءات الإضافية
- تكتيكات واتجاهات برامج الفدية في 2026 — Recorded Future
- حالة برامج الفدية في 2026 — BlackFog
- برامج الفدية تصل إلى مستوى طبيعي مرتفع جديد في 2026 — Industrial Cyber
- ثغرات يوم الصفر وخروقات البيانات ومخاطر الذكاء الاصطناعي تُعرِّف مشهد الأمن السيبراني 2026 — eSecurity Planet
- MITRE ATT&CK — تقنيات التسريب — MITRE
