فدية Rhysida: 337 ألف سجل مُسرَّب، دليل المستشفيات

نُشر في أبريل 20, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

أبلغ Cookeville Regional Medical Center في 14 أبريل 2026 ما مجموعه 337,917 مريضاً عن اختراق Rhysida في يوليو 2025 سرّب 500 جيجابايت من البيانات، بما في ذلك أرقام SSN والحسابات المالية والسجلات الطبية. ادّعت Rhysida 91 هجوماً في 2025 بمتوسط طلب 1.2 مليون دولار، وعرضت بيانات Cookeville بـ10 بيتكوين قبل إغراقها مجاناً. فجوة التسعة أشهر بين الكشف والإبلاغ تُبرز أزمة الاستجابة للاختراقات على نطاق القطاع.

خلاصة: على رؤساء أمن المعلومات في القطاع الصحي عالمياً نشر MFA على VPN/webmail، وEDR على كل نقطة نهاية، والتدرّب على سيناريو إشعار 60 يوماً الآن — سرعة الكشف هي المتغير الذي تتحكم به المستشفيات فعلياً.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

تواجه المستشفيات العامة الجزائرية والعيادات الخاصة ومشغلو الرعاية الصحية تحت وزارة الصحة نفس نموذج تهديد الفدية. تزيد مبادرات الصحة الرقمية في إطار الاستراتيجية الوطنية للصحة من سطح الهجوم عاماً بعد عام.

البنية التحتية جاهزة؟
جزئي
▾

تملك المستشفيات الجزائرية الكبرى قواعد جدران الحماية وAV؛ معظمها يفتقر إلى EDR وتغطية SOC على مدار 24/7 ونسخ احتياطية غير قابلة للتغيير ومُختبَرة. إطار CII الخاص بـASSI يضيف ضغطاً لكن التطبيق متفاوت.

المهارات متوفرة؟
محدود
▾

مواهب الأمن السيبراني الخاصة بالصحة شحيحة. فرق IT المستشفيات عموماً عامّة تُقسم وقتها بين الهندسة الطبية الحيوية وإدارة Windows، مع قليل من الأدوار الأمنية المخصصة.

الجدول الزمني للعمل
6-12 شهراً
▾

يمكن تطبيق الضوابط الأساسية (MFA، التصحيحات، التقسيم، النسخ الاحتياطية) خلال 6 أشهر. تغطية SOC الناضجة وتدريبات IR السريرية تستغرق 12-24 شهراً.

أصحاب المصلحة الرئيسيون
مدراء IT/رؤساء أمن المعلومات في

نوع القرار
استراتيجي
▾

صمود الفدية في القطاع الصحي بناء قدرات متعدد السنوات، وليس شراء منتج. يتطلب اندماجاً تنظيمياً بين IT/OT ودعماً تنفيذياً مستداماً.

خلاصة سريعة: على رؤساء أمن المعلومات في القطاع الصحي الجزائري اعتبار قضية Cookeville معاينةً لحادث وطني قريب. موّلوا نشر EDR وMFA عبر المستشفيات العامة الكبرى في 2026، وابنوا خطة IR للرعاية الصحية بتنسيق DZ-CERT، وتدرّبوا على سيناريو إشعار 60 يوماً قبل أن تجعل أول ضحية Rhysida في الجزائر العاصمة التدريب حقيقياً.

ما حدث في Cookeville

اكتشف Cookeville Regional Medical Center (CRMC)، وهو مستشفى إقليمي في Tennessee، اختراقاً شبكياً في 14 يوليو 2025. كشف التحقيق أن ملفات سُرقت في الأيام السابقة. كان المهاجم عصابة الفدية Rhysida، التي تبنّت المسؤولية على موقعها للتسريبات، وسحبت تقريباً 500 جيجابايت من البيانات قبل أن يُكشف عنها.

في 14 أبريل 2026 — تسعة أشهر بعد الكشف — بدأ CRMC بإرسال رسائل إشعار باختراق البيانات إلى 337,917 شخصاً. المعلومات المعرّضة، وفق إفصاح المستشفى، شملت الأسماء وتواريخ الميلاد والعناوين وأرقام Social Security وأرقام رخصة القيادة وأرقام الحسابات المالية ومعلومات العلاج الطبي وتفاصيل بوليصة التأمين الصحي.

عرضت Rhysida البيانات أولاً للبيع بـ10 بيتكوين (ما يقارب مليون دولار وقتها). عندما لم يظهر مشترٍ، جعلت المجموعة مجموعة البيانات المسروقة متاحة للتنزيل مجاناً — نمط ضغط تستخدمه العصابة لمعاقبة عدم الدفع والحفاظ على المصداقية في نظام الفدية البيئي.

ادّعت Rhysida تنفيذ 91 هجوماً عبر جميع القطاعات في 2025، مع 23 مؤكَّدة ومتوسط طلب فدية 1.2 مليون دولار، وفقاً لتحليلات تتبّع التسريبات.

من هي Rhysida

Rhysida عملية فدية كخدمة (RaaS) تجنّد منتسبين ينفّذون اختراقات باستخدام سلالة Rhysida مقابل حصة من مدفوعات الفدية. عرّفت CISA وFBI وHHS المجموعة بصورة مشتركة في الإشعار AA23-319A في أواخر 2023. منذ ذلك الحين:

القطاعات الأساسية: التعليم والحكومة والتصنيع والتكنولوجيا، مع تركيز ثانوي مستدام على الصحة والصحة العامة.
الطريقة: الابتزاز المزدوج — التشفير للابتزاز، ثم النشر أو البيع للبيانات المسروقة إذا رُفض الدفع.
تكتيك الضغط: نافذة نشر مدتها سبعة أيام لفرض قرارات دفع سريعة.
متجهات الدخول: التصيد، والقوة الغاشمة على Remote Desktop Protocol، واستغلال أجهزة المحيط غير المصحَّحة (بوابات VPN، جدران الحماية)، وإعلانات محركات بحث خبيثة توصل مثبّتات مصابة بأحصنة طروادة.

تظل الرعاية الصحية هدفاً أساسياً لأن المستشفيات لا تستطيع تحمّل توقف ممتد، وسلامة المرضى في خطر مباشر، ومعظم ميزانيات IT للمستشفيات أقل بشكل جوهري من ملف المخاطر القطاعي.

فجوة الإبلاغ التسعة أشهر

المشكلة العلنية في قضية Cookeville ليست أن الاختراق وقع — بل أن الإبلاغ استغرق 270 يوماً من الكشف إلى الرسالة. بموجب قواعد الإبلاغ عن اختراق البيانات في HIPAA الأمريكي (45 CFR § 164.400-414)، على الكيانات المشمولة 60 يوماً من الاكتشاف لإبلاغ الأفراد المتضررين. الفجوة تعكس نمطاً شائعاً:

التحقيقات الجنائية الرقمية تتجاوز ساعة الـ60 يوماً. تاريخ «الاكتشاف» الأصلي قابل للطعن قانونياً غالباً.
الإبلاغ المتأخر يضاعف الأضرار السمعية والتنظيمية.
بحلول وقت علم المرضى بأن SSN وسجلاتهم الطبية على موقع تسريبات، تكون البيانات قد تداولت في الأسواق الإجرامية لأشهر.

لرؤساء أمن المعلومات في القطاع الصحي عالمياً، الدرس أن ساعة الفدية لا تبدأ عند الإبلاغ — بل تبدأ عند الاختراق. سرعة الكشف، وليس سرعة الإفصاح، هي المتغيّر الذي تتحكم به.

خطة الدفاع للقطاع الصحي

مستمدة من CISA AA23-319A وتنبيهات HHS HC3 وتحليل Barracuda لـRhysida وتتبّع حوادث BlackFog وإرشادات HIPAA لعام 2026:

الوقاية (قبل الاختراق):

تصحيح الأنظمة المعرّضة للإنترنت بصرامة. بوابات VPN (Fortinet، Cisco، Ivanti)، جدران الحماية، والمضيفون المعرّضون عبر RDP هم أعلى ثلاث نقاط دخول لـRhysida.
المصادقة متعددة العوامل في كل مكان. Webmail، VPN، وأي نظام يصل إلى البيانات السريرية. VPN بعامل واحد هو الباب المفضل لـRhysida.
تقسيم الشبكة. اعزل EHR والتصوير (PACS) وأنظمة المختبر وOT الطبية الحيوية عن IT العام. الشبكة المسطحة في المستشفى مسرّع للفدية.
اقضِ على مثبّتات الإعلانات. درّب الموظفين على عدم تثبيت البرامج من نتائج إعلانات محركات البحث. استخدم قوائم السماح التطبيقية على محطات العمل السريرية.
نسخ احتياطية غير متصلة ومُختبَرة. ليس فقط «وجود نسخ احتياطية» — استعادات مُختبَرة ونُسخ غير قابلة للتغيير ووسائط غير متصلة. منتسبو Rhysida يستهدفون خوادم النسخ الاحتياطي بانتظام.

الكشف (أثناء الاختراق):

EDR على كل نقطة نهاية. CrowdStrike، SentinelOne، Defender for Endpoint مع تمكين الاستجابة الفعالة. اكتشف إساءة استخدام LOLBin، وسرقة بيانات الاعتماد، وإنشاء أرشيفات غير معتادة (مرحلة تحضير الـ500 جيجابايت).
مراقبة حركة الخروج. لا ينبغي للمستشفى عادةً تسريب 500 جيجابايت إلى مضيف خارجي. DLP وكشف الشذوذ الشبكي يلتقطانه إذا ضُبطا.
ارتباط SIEM وتغطية SOC على مدار 24/7. لا تزال معظم المستشفيات الإقليمية تشغّل SOCs في ساعات العمل فقط. Rhysida تستغل الليل وعطلة نهاية الأسبوع.

الاستجابة (ما بعد الاختراق):

تدرّب على خطة استجابة الاختراق مع الشؤون القانونية والاتصالات والقيادة السريرية والمستشار الخارجي. التزم بنوافذ إشعار HIPAA 60 يوماً أو وثّق السبب الجنائي الرقمي لعدم الالتزام.
لا تفترض استجابة صامتة. ستسرّب Rhysida البيانات إذا لم تدفع؛ والدفع لا يضمن أن تبقى البيانات خاصة. ابنِ خطة الاستجابة العامة كما لو كانت البيانات قد سُرّبت.

ما يجب أن تأخذه الأنظمة الصحية عالمياً

Rhysida ليست متجر zero-day متطور. اختراق Cookeville دراسة حالة لما تفعله الفدية غير المتطورة بمستشفى ضعيف الدفاع: دخول عبر التصيد أو RDP، حركة جانبية، تسريب، تشفير، ابتزاز، إغراق. كل ضابط في الخطة أعلاه معياري — الفجوة هي التنفيذ المتسق عبر كل بيئة IT مستشفى.

بالنسبة لأنظمة الصحة غير الأمريكية التي تراقب من أوروبا وأفريقيا والشرق الأوسط: Rhysida لا تكترث للحدود. ادّعت نفس المجموعة ضحايا في المملكة المتحدة وفرنسا وأستراليا. تنقل الخطة بسلاسة، ومؤقّت التسريب سبعة أيام عالمي.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

لماذا تسرّب مجموعات الفدية مثل Rhysida البيانات حتى بعد رفض الضحايا الدفع؟

التسريب يعاقب عدم الدفع ويحافظ على المصداقية للضحايا المستقبليين. لو كانت Rhysida تسرّب فقط عند الدفع، لعلم الضحايا أن رفض الدفع آمن. الإغراق العلني، مع عدّ تنازلي لسبعة أيام، هو الإشارة الاقتصادية إلى أن عدم الدفع له عواقب. لذلك التخطيط للإفصاح العلني بأهمية التخطيط للدفع.

كم يكلّف هجوم الفدية فعلياً مستشفى إقليمياً؟

الحالات المنشورة تُظهر أن التكلفة الإجمالية — الاستجابة، القانونية، الإشعار، مراقبة الائتمان، الغرامات التنظيمية، وفقدان الإيرادات — تتجاوز عادةً طلب الفدية بمعامل 5-15 ضعفاً. طلب Rhysida بمليون دولار يُترجم إلى أثر إجمالي 5-15 مليون دولار، حتى عندما لا تُدفع الفدية. يغطي التأمين السيبراني غالباً جزءاً فقط، والأقساط ترتفع بحدة بعد المطالبة.

ما الضابط الأعلى قيمةً الذي يمكن لمستشفى صغير نشره اليوم؟

المصادقة متعددة العوامل على VPN وwebmail. معظم اختراقات Rhysida في الصحة تبدأ بسرقة بيانات الاعتماد عبر التصيد وتسجيل VPN بعامل واحد. MFA يغلق ذلك الباب بتكلفة شبه معدومة. EDR على كل نقطة نهاية أولوية ثانية — كلاهما قابل للنشر خلال دورة ميزانية واحدة لمستشفى إقليمي.