مقدمة
بحلول الربع الثالث من عام 2025، كانت هجمة فدية تقع في مكان ما حول العالم كل 19 ثانية تقريباً. ليس كل 19 دقيقة. كل 19 ثانية. على مدار عام 2025، أكد باحثو الأمن السيبراني وقوع 4,701 حادثة فدية بين يناير وسبتمبر فقط — وهو رقم يستثني الغالبية العظمى من الهجمات التي لا يُفصح عنها الضحايا علنياً. يُقدّر الإجمالي الحقيقي بأضعاف هذا الرقم.
الأضرار الاقتصادية مذهلة. توقعت Cybersecurity Ventures إجمالي تكاليف الجرائم الإلكترونية بمبلغ 10.5 تريليون دولار عالمياً لعام 2025. تمثل برامج الفدية (Ransomware) العنصر الأسرع نمواً — حيث بلغ متوسط مدفوعات الفدية 1.5 مليون دولار لكل حادثة، وتكاليف التعافي غالباً ما تتجاوز الفدية نفسها، والعواقب على السمعة والعمليات تستمر لسنوات.
ما كان في السابق جريمة يرتكبها مجموعات صغيرة من المجرمين الانتهازيين تطور إلى صناعة ناضجة ومهنية ومتشابكة جيوسياسياً — مكتملة بأدوار متخصصة وفرق خدمة عملاء وشبكات تابعين وخبراء تفاوض.
تطور برامج الفدية: من التشفير إلى الابتزاز
بدأت برامج الفدية كعملية بسيطة نسبياً: تشفير ملفات الضحية والمطالبة بدفع مقابل مفتاح فك التشفير. استهدفت برامج الفدية المبكرة في عقد 2010 الأفراد والشركات الصغيرة، مطالبة بمئات أو آلاف الدولارات.
التطور الجوهري الأول كان التحول في الاستهداف نحو المؤسسات والمستشفيات والوكالات الحكومية — ضحايا يملكون القدرة على دفع فديات أكبر والضغط التشغيلي للدفع بسرعة. أظهرت هجمات WannaCry وNotPetya في عام 2017 أن البنية التحتية للمؤسسات يمكن شلّها ببرامج الفدية على نطاق عالمي.
التطور الجوهري الثاني كان نموذج الفدية كخدمة (RaaS — Ransomware-as-a-Service) — تطوير نماذج امتياز إجرامية حيث يتشارك مطورو برامج الفدية (الذين يوفرون البرمجيات الخبيثة والبنية التحتية) مع التابعين (الذين ينفذون الاختراقات الفعلية) على أساس تقاسم الإيرادات. خفض هذا النموذج بشكل كبير عتبة الدخول إلى جريمة الفدية: لا يحتاج التابع إلى كتابة شيفرة، فقط الحصول على الوصول ونشر الحمولة. يكسب المطورون 20-30% من كل فدية تُدفع عبر منصتهم.
التطور الجوهري الثالث — والنموذج السائد حالياً — هو التحول من برامج الفدية القائمة على التشفير فقط إلى الابتزاز المزدوج والثلاثي:
- الابتزاز المزدوج: يسرق المهاجمون البيانات قبل تشفيرها. يطالبون بالدفع مقابل توفير مفتاح فك التشفير وعدم نشر البيانات المسروقة. يعمل هذا حتى عندما يمتلك الضحايا نسخاً احتياطية — لأن تهديد نشر البيانات يُنشئ ضغطاً للدفع بغض النظر.
- الابتزاز الثلاثي: يُضاف رافعة ضغط ثالثة — هجمات حرمان من الخدمة الموزعة (DDoS) على البنية التحتية العامة للضحية، أو الاتصال بعملاء الضحية وشركائه وتهديدهم بكشف بياناتهم — لتعظيم ضغط الدفع.
النتيجة هي أن أكثر من 70% من هجمات الفدية في أواخر 2025 تضمنت سرقة البيانات كآلية ضغط أساسية، مع تحول التشفير بشكل متزايد إلى عنصر ثانوي مقارنة بابتزاز البيانات.
أبرز الحوادث في عام 2025
Change Healthcare (ALPHV/BlackCat): أخطر هجمة فدية في التاريخ الأمريكي. تُعالج Change Healthcare حوالي 15 مليار معاملة صحية سنوياً — مطالبات الصيدليات، والتحقق من أهلية التأمين، وسير العمل السريري للمستشفيات والعيادات عبر الولايات المتحدة. أدت هجمة ALPHV/BlackCat في مطلع 2024 إلى انقطاعات مطوّلة عطّلت عمليات الصيدليات وأخّرت رعاية المرضى وتسببت في خسائر مباشرة تُقدّر بـ 872 مليون دولار لمجموعة UnitedHealth Group (المالكة لـ Change Healthcare) في الربع الأول من 2024 فقط. بلغ إجمالي الأثر الاقتصادي، بما في ذلك التأثيرات على مقدمي الرعاية الصحية على مستوى البلاد، مليارات الدولارات.
SK Telecom (كوريا الجنوبية): في عام 2025، تعرضت أكبر شركة اتصالات في كوريا الجنوبية لاختراق كشف حوالي 26.96 مليون سجل IMSI (هوية المشترك) وبيانات USIM ذات الصلة — ما يقرب من 9.82 غيغابايت من البيانات تؤثر على نحو نصف سكان كوريا الجنوبية. سلّط الاختراق الضوء على الحجم المدمر لتعرض بيانات الاتصالات.
هيئة الخدمات الصحية الوطنية في المملكة المتحدة: تعرضت NHS England لهجمة فدية نُسبت إلى مجموعة Qilin في عام 2024 عطّلت خدمات نقل الدم وأدت إلى تأجيل آلاف العمليات الجراحية عبر مستشفيات لندن. كشفت الهجمة عن بيانات المرضى وخلقت اضطرابات تشغيلية استمرت لأسابيع.
Asahi (اليابان): هجمة فدية كشفت المعلومات الشخصية لنحو 1.914 مليون شخص بما في ذلك 1.525 مليون عميل، مع توقع استمرار الاضطرابات التشغيلية حتى عام 2026.
منظومة RaaS: الجريمة المنظمة على نطاق واسع
فهم لماذا يصعب إيقاف برامج الفدية يتطلب فهم هيكلها التنظيمي — الذي هو أكثر تطوراً بكثير مما توحي به الصورة الشائعة للقراصنة المنفردين.
المطورون الأساسيون: عدد صغير من المجموعات المتطورة تقنياً تطوّر وتصون منصات برامج الفدية — تحافظ على محركات التشفير وبوابات التفاوض ومواقع التسريب وبنية إدارة التابعين. من بين المجموعات الرئيسية في 2025: LockBit وALPHV/BlackCat (تعرضت للتعطيل لكن خلفاءها يعملون) وClop وRansomHub وAkira.
التابعون: مشغّلون إجراميون مستقلون ينفّذون الاختراقات وينشرون برامج الفدية ويتفاوضون مع الضحايا — ويكسبون 70-80% من عائدات الفدية. غالباً ما يعمل التابعون مع مجموعات متعددة في الوقت نفسه ويتنقلون بين المنصات بناءً على الأدوات المتاحة وملاحقة الأجهزة الأمنية لمجموعات محددة.
وسطاء الوصول الأولي (IABs): متخصصون يحصلون على الوصول الأولي إلى شبكات الشركات (من خلال التصيد أو استغلال الثغرات أو شراء بيانات الاعتماد) ويبيعون ذلك الوصول لتابعي برامج الفدية. أنشأ وسطاء الوصول سوقاً يفصل بين عمل الحصول على الوصول وعمل استثماره مالياً.
متخصصو التفاوض: مفاوضون محترفون يديرون الاتصالات مع الضحايا ويُقيّمون القدرة على الدفع ويحسّنون مبالغ الفدية. يعمل بعضهم كمستشاري تفاوض فدية مشروعين (وإن كانوا مشكوكاً فيهم أخلاقياً) من جانب الضحية؛ ويعمل آخرون مباشرة لصالح مجموعات الفدية.
بنية غسيل الأموال: تحويل مدفوعات الفدية بالعملات المشفرة إلى عملة ورقية قابلة للاستخدام يتطلب بنية تحتية كبيرة لغسيل الأموال — خدمات خلط العملات، وبورصات عملات مشفرة بإجراءات KYC غير كافية، وعمليات جرائم مالية متطورة بشكل متزايد.
إعلان
استجابة أجهزة إنفاذ القانون: لعبة ضرب الخُلد
حققت أجهزة إنفاذ القانون الدولية تقدماً كبيراً ضد مجموعات برامج الفدية — وأثبتت تلك المجموعات مرونة ملحوظة.
إسقاط LockBit (2024): في فبراير 2024، استولت عملية Cronos — عملية مشتركة لإنفاذ القانون شارك فيها وكالات من 10 دول — على بنية LockBit التحتية، واعتقلت أعضاء، ونشرت أدوات فك التشفير. في غضون أسبوعين، أعادت LockBit إطلاق عملياتها ببنية تحتية جديدة. بعد عام، ظلت LockBit تعمل وإن بقدرة منخفضة.
تعطيل ALPHV/BlackCat: عطّل مكتب التحقيقات الفيدرالي (FBI) عمليات ALPHV/BlackCat وأصدر مفاتيح فك التشفير لمئات الضحايا. نفّذت ALPHV لاحقاً “عملية احتيال خروج” — متظاهرة بالإغلاق بينما فرّ مديروها على الأرجح بأموال التابعين — قبل أن تظهر شيفرة برامج الفدية بشكل معدّل تحت أسماء مجموعات جديدة.
Clop وMOVEit: أثر استغلال مجموعة Clop لثغرة في برنامج نقل الملفات MOVEit على مئات المنظمات حول العالم. بينما اعتقلت أجهزة إنفاذ القانون تابعين لـ Clop في أوكرانيا، بقيت المجموعة الأساسية — التي يُعتقد أنها تعمل من روسيا — طليقة وعاملة.
النمط ثابت: تُعطّل عمليات إنفاذ القانون مجموعات فردية لكن المنظومة الأساسية (بنية RaaS التحتية، شبكات التابعين، أنظمة غسيل الأموال) تتجدد بسرعة. طالما بقيت برامج الفدية مربحة بشكل استثنائي والفاعلون الرئيسيون يعملون من ولايات قضائية ذات تعاون محدود في إنفاذ القانون، يبقى القمع الكامل غير مرجح.
برامج الفدية المدعومة بالذكاء الاصطناعي: الموجة القادمة
يُنشئ تقاطع الذكاء الاصطناعي وبرامج الفدية قدرات هجومية جديدة بدأت فرق الأمن للتو في استيعابها.
التصيد المولّد بالذكاء الاصطناعي: وجد تقرير CrowdStrike لعام 2025 حول برامج الفدية أن 87% من محترفي الأمن يعتقدون أن الذكاء الاصطناعي يجعل طُعم التصيد أكثر إقناعاً. يمكن للذكاء الاصطناعي توليد رسائل تصيد موجهة عالية التخصيص — مصممة لأفراد محددين باستخدام معلومات مجمّعة من LinkedIn والمواقع المؤسسية ووسائل التواصل الاجتماعي — بسرعة وحجم لا يمكن للمهاجمين البشريين مجاراتهما. عصر “الأمير النيجيري” في التصيد الواضح الزيف انتهى؛ يمكن للتصيد المولّد بالذكاء الاصطناعي أن يكون غير قابل للتمييز عن الاتصالات المشروعة.
اكتشاف الثغرات المسرّع بالذكاء الاصطناعي: يمكن لأدوات الذكاء الاصطناعي تحليل الشيفرة وتكوينات الشبكة لتحديد الثغرات القابلة للاستغلال بشكل أسرع من الباحثين البشريين. نفس قدرات الذكاء الاصطناعي المتاحة لباحثي الأمن الدفاعي متاحة للمجموعات الإجرامية.
الهندسة الاجتماعية بتقنية التزييف العميق: استُخدمت التزييفات العميقة الصوتية (Deepfake) لانتحال شخصية مسؤولين تنفيذيين في هجمات التصيد الصوتي (Vishing)، بما في ذلك حالة موثّقة في عام 2024 حيث حوّل موظف مالي 25 مليون دولار بناءً على مكالمة فيديو ظهر فيها ما بدا أنه المدير المالي للشركة — وهو تزييف عميق. بدأت مجموعات الفدية في دمج هذه التقنيات في عمليات الوصول الأولي.
التفاوض المحسّن بالذكاء الاصطناعي: يمكن لأنظمة الذكاء الاصطناعي تحليل خصائص الضحية — البيانات المالية وتغطية التأمين والأهمية التشغيلية للأنظمة المشفرة — لتحسين مطالب الفدية الأولية واستراتيجيات التفاوض.
يحدد تقرير Experian لتهديدات الأمن السيبراني لعام 2026 الذكاء الاصطناعي كالعامل الناشئ الرئيسي الذي يُعيد تشكيل مشهد التهديدات السيبرانية — مما يزيد حجم الهجمات وتطورها وسرعة نشر التقنيات الجديدة على نطاق واسع.
الرعاية الصحية: القطاع الأكثر استهدافاً والأكثر هشاشة
برزت الرعاية الصحية كالقطاع الأشد تأثراً ببرامج الفدية — لأسباب تتجاوز الملاحظة الواضحة بأن البيانات الصحية قيّمة.
الأهمية التشغيلية الحرجة: لا تستطيع المستشفيات تحمّل فترات التوقف. على عكس شركة تجزئة قد تقبل أياماً من التعطل المعلوماتي، فإن مستشفى تُشفّر فيها أنظمة مراقبة المرضى وأنظمة إعطاء الأدوية أو جدولة العمليات تواجه خطراً فورياً على حياة البشر. هذا الضغط التشغيلي يُنشئ حوافز قوية لدفع الفديات بسرعة ودون تفاوض.
نقص تمويل الأمن السيبراني: استثمرت منظمات الرعاية الصحية تاريخياً بشكل أقل في الأمن السيبراني مقارنة بالقطاعات الأخرى. هوامش الربح ضيقة، والمتطلبات التنظيمية كانت تاريخياً أقل تحديداً بشأن ضوابط الأمن مقارنة بالخدمات المالية، وبيئات التكنولوجيا معقدة (تجمع بين أنظمة سريرية من عشرات المصنّعين، يعمل كثير منها ببرمجيات قديمة).
أجهزة طبية قديمة: تعمل الأجهزة الطبية — مضخات الحقن الوريدي وأجهزة التصوير وأجهزة مراقبة المرضى — غالباً بأنظمة تشغيل قديمة لا يمكن تحديثها دون تحقق من الشركة المصنّعة، مما يُنشئ ثغرات مستمرة غير مُصلحة عبر شبكات الرعاية الصحية.
هدف غني بالبيانات: تحتوي السجلات الصحية الإلكترونية على أرقام الضمان الاجتماعي ومعلومات التأمين والبيانات المالية ومعلومات شخصية بالغة الحساسية — مما يجعل البيانات الصحية من بين الأكثر قيمة في الأسواق الإجرامية.
تمتد عواقب هجمات الفدية على الرعاية الصحية إلى ما يتجاوز المنظمة المُهاجمة. وجدت دراسات نُشرت في 2023 و2024 زيادات ذات دلالة إحصائية في معدلات الوفيات داخل المستشفيات المجاورة لضحية هجمة فدية — لأن ضحايا الهجمات يُحوّلون المرضى إلى المستشفيات المجاورة، مما يُثقل قدراتها ويُدهور جودة الرعاية.
ما يجب على المنظمات فعله
في مواجهة مشهد التهديدات هذا، يتطلب الدفاع الفعّال نهجاً متعدد الطبقات:
نسخ احتياطية غير قابلة للتغيير: الدفاع الأساسي ضد برامج الفدية هو نسخ احتياطية لا يمكن لبرنامج الفدية تشفيرها. يجب أن تكون النسخ الاحتياطية معزولة عن الشبكة الرئيسية (غير متصلة أو في مستأجر سحابي منفصل) واختبار استعادتها بانتظام. المنظمات التي يمكنها الاستعادة من النسخ الاحتياطية في ساعات لديها قدرة تفاوضية أكبر بشكل كبير من تلك التي لا تستطيع الاستعادة إطلاقاً.
إدارة الوصول المتميز: تنتقل برامج الفدية جانبياً باستخدام بيانات الاعتماد الإدارية. إدارة الوصول المتميز الصارمة — تقليل عدد الحسابات ذات صلاحيات مسؤول النطاق، ومطالبة المصادقة متعددة العوامل (MFA) للوصول الإداري، وتحديد وقت الجلسات المتميزة — تُقيّد بشكل كبير قدرة برامج الفدية على الانتشار.
تجزئة الشبكة: عزل الأنظمة الحيوية في أجزاء شبكية منفصلة يحد من قدرة برامج الفدية على تشفير كل شيء. هجمة فدية محتواة في جزء شبكي واحد حادثة خطيرة؛ لكن هجمة تُشفّر كل شيء كارثة.
اكتشاف نقاط النهاية والاستجابة (EDR): تكشف أدوات EDR الحديثة أنماط سلوك برامج الفدية (التشفير السريع للملفات، حذف النسخ الاحتياطية، فحص الشبكة) قبل اكتمال الهجمة — مما يُمكّن من المقاطعة قبل الضرر الكامل.
تخطيط الاستجابة للحوادث والتدريب عليها: المنظمات التي لديها خطط استجابة للحوادث موثّقة ومُختبرة تتعافى بشكل أسرع وبأضرار أقل من تلك التي ترتجل تحت ضغط الهجمة. تدريبات المحاكاة المكتبية التي تُحاكي سيناريوهات برامج الفدية هي الاستثمار الأكثر قيمة في الاستعداد.
خاتمة
أزمة برامج الفدية العالمية ليست مشكلة تقنية لها حل تقني — إنها مشكلة اجتماعية اقتصادية معقدة تتطلب التنسيق عبر أجهزة إنفاذ القانون والحكومات وصناعة الأمن والمنظمات الفردية. الأدوات التقنية للدفاع متاحة وفعّالة؛ التحدي هو النشر والحوكمة والاستثمار المستدام.
كل 19 ثانية، منظمة أخرى في مكان ما حول العالم تتعلم هذا الدرس بالطريقة الصعبة. السؤال لكل منظمة تقرأ هذا المقال هو ما إذا كانت ستتعلمه من حادثتها الخاصة — أم من حادثة شخص آخر.
إعلان
رادار القرار (عدسة جزائرية)
| البُعد | التقييم |
|---|---|
| الأهمية بالنسبة للجزائر | عالية — يُنشئ تسارع الرقمنة في الجزائر عبر الخدمات الحكومية الإلكترونية (AADL، Chifa، El Bayane)، والخدمات البنكية (شبكات CIB/SATIM)، ومشغّلي الاتصالات (Djezzy، Mobilis، Ooredoo)، والرعاية الصحية (نظام Chifa، شبكات المستشفيات) سطح هجوم يتوسع بسرعة تستكشفه مجموعات برامج الفدية بنشاط عبر شمال أفريقيا ومنطقة الشرق الأوسط وشمال أفريقيا |
| جاهزية البنية التحتية؟ | جزئياً — تفتقر الجزائر إلى مركز وطني للاستجابة للطوارئ المعلوماتية (CERT) يعمل بالكامل على مدار الساعة؛ تتفاوت نضج مراكز العمليات الأمنية (SOC) بشكل كبير عبر القطاعات، حيث يتقدم القطاع البنكي نسبياً بينما تفتقر الرعاية الصحية والوكالات الحكومية غالباً إلى عمليات أمنية مخصصة؛ تعمل كثير من أنظمة القطاع العام ببرمجيات قديمة بدورات تحديث غير منتظمة |
| المهارات المتاحة؟ | جزئياً — تُخرّج الجامعات الجزائرية متخصصين في الأمن السيبراني وتُدير ANSSI (وكالة الأمن الوطني) برامج تدريبية، لكن المستجيبين للحوادث ذوي الخبرة وصائدي التهديدات لا يزالون نادرين؛ هجرة الكفاءات إلى دول الخليج وأوروبا تُفاقم النقص؛ لا توجد قدرة محلية راسخة في الطب الشرعي الرقمي المتخصص في برامج الفدية |
| الجدول الزمني للعمل | فوري — يجب أن تبدأ المنظمات الجزائرية في تنفيذ استراتيجيات النسخ الاحتياطي غير القابلة للتغيير وتجزئة الشبكة وإدارة الوصول المتميز الآن؛ التهديد موجود بالفعل وليس افتراضياً |
| أصحاب المصلحة الرئيسيون | مسؤولو أمن المعلومات ومديرو تقنية المعلومات في البنوك وشركات الاتصالات الجزائرية، وزارة الاقتصاد الرقمي والمقاولات الناشئة، ANSSI، مسؤولو تقنية المعلومات في المستشفيات، فرق أمن تقنية المعلومات في Sonatrach وSonelgaz، بريد الجزائر وSATIM |
| نوع القرار | استراتيجي — يتطلب تنسيقاً على المستوى الوطني بشأن أُطر الاستجابة للحوادث واستثماراً على مستوى المنظمات في دفاعات متخصصة ضد برامج الفدية |
خلاصة سريعة: يجعل التحول الرقمي المتواصل في الجزائر — من البوابات الحكومية إلى الأنظمة البنكية إلى شبكات الرعاية الصحية — الاستعداد لبرامج الفدية أولوية وطنية عاجلة وليس مصدر قلق مستقبلي. غياب مركز CERT يعمل بالكامل ونقص المستجيبين المدرّبين للحوادث يعني أن حدثاً كبيراً لبرامج الفدية يضرب البنية التحتية الحيوية الجزائرية (الطاقة، الاتصالات، الرعاية الصحية) قد يُسبب تعطلاً مطولاً مع قدرة محلية محدودة لاحتوائه. يجب على المنظمات التعامل مع إحصائيات برامج الفدية العالمية في هذا المقال كتحذير مباشر والبدء في تعزيز الدفاعات فوراً.
المصادر والقراءات الإضافية
- Ransomware Attack 2025 Recap — Cybersecurity News
- Top 10 Cyber-Attacks of 2025 — Infosecurity Magazine
- 2025 Cybersecurity Almanac — Cybersecurity Ventures
- AI Takes Center Stage as the Major Threat to Cybersecurity in 2026 — Experian
- Top Cybersecurity Threats in 2025: What the Data Reveals — DeepStrike
- Top 5 Cyber-Attacks of 2025 — Infosecurity Europe
إعلان