⚡ أبرز النقاط

تسببت مجموعة Scattered Spider (UNC3944 / Muddled Libra / Octo Tempest) في أضرار بقيمة 300 مليون جنيه إسترليني في قطاع التجزئة البريطاني في 2025، ثم تحولت إلى الطيران وموردي الخدمات المدارة، وتتوقع Sophos وTrend Micro وHHS الأمريكية أن تركز على الرعاية الصحية في 2026. سلسلة الهجوم هي هندسة اجتماعية عبر الهاتف على مكاتب الدعم، وتبديل شرائح SIM، وإساءة استخدام SaaS الموحّدة، وبرامج فدية مختارة بالشراكة — دون الحاجة إلى ثغرات zero-day. أمام المدافعين أشهر من المهلة لنشر التحقق خارج النطاق لمكاتب الدعم، وMFA مقاوم للتصيد، واكتشاف استخراج بيانات SaaS، وتقسيم الشبكات السريرية.

خلاصة: يجب على قادة الرعاية الصحية والتأمين وموردي الخدمات المدارة التعامل مع تناوب قطاعات Scattered Spider لعام 2026 كفرضية تخطيط نشطة. الدليل الدفاعي معروف؛ السؤال هو ما إذا كان سيُنفَّذ قبل وقوع الاختراق.

اقرأ التحليل الكامل ↓

إعلان

🧭 رادار القرار

الأهمية بالنسبة للجزائرمتوسطة
شبكات الرعاية الصحية والتأمين الجزائرية هدف أصغر وأكثر إقليمية، لكن البنوك وشركات الاتصالات الجزائرية والشركات الفرعية متعددة الجنسيات تشارك طوبولوجيا SSO ومكتب الدعم وMSP نفسها التي تستغلها هذه المجموعة. التقنيات قابلة للنقل مباشرة.
البنية التحتية جاهزة؟جزئياً
البنوك الكبرى وشركات الاتصالات الجزائرية لديها منصات هوية حديثة؛ IT الرعاية الصحية في المستشفيات العمومية أقل نضجاً. MFA المقاوم للتصيد ليس معياراً بعد في أي من القطاعين.
المهارات متاحة؟جزئياً
مهارات IAM وأمن SaaS ومكتب دعم مقاوم للهندسة الاجتماعية نادرة. OWASP Algiers وفرع ISC2 Algeria يبنيان خط أنابيب المواهب.
أفق العمل6-12 شهراً
نشر التحقق من مكتب الدعم وMFA المقاوم للتصيد برامج متعددة الفصول. البدء الآن يضع المنظمة قبل التناوب MEA الأوسع.
الأطراف المعنيةCISO، CIO المستشفيات، فرق احتيال البنوك، أمن الاتصالات، موردو MSP، قادة مكاتب الدعم، مهندسو الهوية
نوع القراراستراتيجي
تصلُّب الهوية ومكتب الدعم برامج متعددة السنوات، لا إصلاحات نقطية.

خلاصة سريعة: ينبغي لقادة الرعاية الصحية والتأمين وMSP التعامل مع توقع Scattered Spider 2026 كفرضية تخطيط حيّة. انقلوا التحقق من إعادة تعيين MFA في مكتب الدعم إلى خارج النطاق هذا الربع، وعجّلوا MFA المقاوم للتصيد للموظفين ذوي الصلاحيات، وفعّلوا مراقبة تسريب بيانات SaaS، وجزّئوا الشبكات السريرية عن الإدارية. ينبغي للبنوك وشركات الاتصالات الجزائرية التي تُشغّل طوبولوجيات SSO مشابهة استعارة الدليل نفسه.

من موجة التجزئة إلى تناوب القطاعات

تبدأ قصة Scattered Spider الحديثة في أبريل وماي 2025 مع موجة التجزئة في المملكة المتحدة. وثّقت HackTheBox وCybersecurity Dive الاختراقات شبه المتزامنة في Marks & Spencer وCo-op وHarrods: أرفف فارغة في M&S، وتعليق المدفوعات اللاتلامسية، وتوقفات كلّفت تجار التجزئة نحو 300 مليون جنيه تراكمياً. أفادت Computer Weekly بأن فريق استخبارات التهديدات في Google أكّد أن العنقود نفسه كان يستهدف بالفعل تجار التجزئة الأمريكيين.

بحلول يونيو 2025، كانت المجموعة قد انتقلت إلى الطيران. تُشير استعادة BlackFog إلى هجمات على Hawaiian Airlines وWestJet ومركز اتصالات طرف ثالث لـ Qantas، كلها مرتبطة بنفس TTPs. بعد الطيران، انجرفت المجموعة نحو انتحال MSPs وموردي IT — وثّقت Infosecurity Magazine التحوّل إلى انتحال tech-vendor لاستهداف مكاتب الدعم، وأشارت HIPAA Journal إلى نشاط مركّز على MSP مع آثار مباشرة للرعاية الصحية.

يحدد منظور IT Pro لعام 2026، استناداً إلى تقييمات Sophos وTrend Micro لعام 2026، وملف تهديد من US Department of Health and Human Services، الرعاية الصحية كالقطاع التالي المرجّح للاستهداف المركّز.

هذا يمنح المدافعين شيئاً غير عادي في تتبع الفدية: تناوب قطاعات مُسمّى علناً مع أشهر من المهلة للاستعداد.

سلسلة الهجوم لم تتغيّر جوهرياً

اتّبع كل قطاع ضربته هذه المجموعة — التجزئة والطيران والتأمين وMSPs، والآن الرعاية الصحية — سلسلة الهجوم نفسها تقريباً. تتقارب استعادة حملة ExtraHop وتقييم Muddled Libra من Palo Alto Unit 42 على المراحل نفسها:

  1. الوصول الأولي عبر الهندسة الاجتماعية لمكتب الدعم. يتصل المهاجم بمكتب دعم IT للمستهدف مدّعياً أنه موظف شرعي أو MSP متعاقد. يستغل عمليات التحقق الضعيفة — يعرف المتصل اسم الموظف ودوره ومديره — ويُقنع مكتب الدعم بإعادة تعيين MFA أو إصدار كلمة مرور.
  2. SIM swap لهزم MFA عبر SMS حيثما وُجد. بالتوازي أو لاحقاً، يستخدم المهاجم وصول insider حامل من شركة اتصالات تم شراؤه سابقاً لنقل رقم الضحية إلى جهاز مُتحكَّم به.
  3. حصاد بيانات الاعتماد والوصول إلى وحدة تحكم السحابة. بوجود موطئ قدم واحد، ينتقل المهاجم إلى Okta أو Entra أو Workspace أو Azure ويبدأ في إحصاء تطبيقات SaaS الموحّدة — Salesforce وSnowflake وServiceNow وSlack.
  4. تسريب البيانات عبر API SaaS شرعية. بدلاً من إطلاق برامج ضارة مخصصة، يستخدمون قدرات تصدير Salesforce واستعلام Snowflake الخاصة بالضحية لتسريب البيانات بهدوء.
  5. نشر encryptor من DragonForce أو RansomHub. توثّق أبحاث Resilience علاقات الانتساب للمجموعة مع عدة مشغلي فدية، مما يمنحها القدرة على اختيار ماركة encryptor التي تناسب ارتباطاً معيناً.

لا شيء في هذه السلسلة يتطلب zero-days. يتطلب مكتب دعم مستعداً لإعادة تعيين MFA عبر الهاتف، وinsider شركة اتصالات قادراً على SIM swap، وSSO موحّد بدون فرض عوامل مقاومة للتصيد. هذا هو السقف.

لماذا الرعاية الصحية هي الهدف التالي الواضح

أربعة عوامل هيكلية تشرح التحوّل المتوقع.

  • ثقافة مكتب الدعم. تشغّل المستشفيات مكاتب دعم كبيرة منتشرة جغرافياً مع دوران موظفين مرتفع وضغط قوي لإزالة قيود الأطباء بسرعة. هذا بالضبط البيئة التي تستغلها Scattered Spider أفضل.
  • عدم نضج الهوية الموحّدة. معظم شبكات الرعاية الصحية لديها خليط من Active Directory on-prem وMicrosoft Entra وأنظمة هوية خاصة بالقطاع (Epic، Cerner/Oracle Health). MFA المقاوم للتصيد (FIDO2، passkeys، الرموز العتادية) أقل انتشاراً بشكل موحّد من الخدمات المالية.
  • رافعة التأثير التشغيلي. التوقف في التجزئة يكلف إيرادات. التوقف في الرعاية الصحية يهدد سلامة المرضى، مما يجعل ضغط الفدية أصعب في المقاومة. حسّنت Scattered Spider باستمرار للرافعة التشغيلية القصوى.
  • التعرض للأطراف الثالثة. شبكات الرعاية الصحية متشابكة بعمق مع MSPs ومنتجي مطالبات التأمين وموردي EHR وSaaS متخصصة. يتلاءم الانعطاف الأخير للمجموعة نحو انتحال موردي MSP، وفقاً لـ HIPAA Journal، طبيعياً مع طوبولوجيا سلسلة التوريد للرعاية الصحية.

إعلان

دليل المدافع في الرعاية الصحية

هذه هي القائمة القصيرة من الضوابط التي تكسر سلسلة هجوم Scattered Spider بشكل قابل للإثبات. لا شيء منها جديد؛ كلها غير منشورة بشكل كافٍ في الرعاية الصحية اليوم.

  • التحقق خارج النطاق لمكتب الدعم. يجب التحقق من أي طلب لإعادة تعيين MFA أو كلمة المرور عبر قناة لا يمكن للمتصل التحكم بها — عادةً اتصال رجوعي بمدير الموظف على رقم مخزّن في سجلات الموارد البشرية، لا مُقدَّم من المتصل. افرض هذا كسياسة، لا كاقتراح.
  • MFA مقاوم للتصيد لكل الموظفين ذوي الوصول المميز. مفاتيح FIDO2 العتادية أو passkeys المنصة للأطباء والمديرين وموظفي IT. OTP عبر SMS والصوت لا يمكنها الصمود أمام SIM swap وينبغي سحبها من سير العمل عالي القيمة.
  • Conditional access على السفر المستحيل وتسجيل الدخول من جهاز جديد. تدعمه كل منصة هوية رئيسية بشكل أصلي. إنه أعلى تنبيه إشاري لاختراق Scattered Spider نشط.
  • كشف تسريب البيانات SaaS. تُعرض Salesforce وSnowflake وM365 كلها APIs لمراقبة حجم التصدير أو الاستعلام غير العادي. فعّلوها ووجّهوا التنبيهات إلى SOC — لا إلى صاحب التطبيق.
  • التجزئة بين الشبكات السريرية والإدارية. الشبكة الصحية المسطحة التقليدية هي البطن اللين. نشر فدية لا يستطيع العبور من أنظمة الموارد البشرية أو مكتب الدعم إلى محطات الأعمال السريرية هو حادث قابل للنجاة جوهرياً.
  • فحص الأطراف الثالثة MSP وموردي IT. راجعوا أي علاقة IT خارجية أو MSP لديها صلاحية إعادة تعيين بيانات الاعتماد أو الوصول إلى الأنظمة المميزة. اطلبوا منهم فرض معايير التحقق نفسها لمكتب الدعم، أو اسحبوا الامتياز.

ما الذي ينبغي أن يسمعه القادة من CISO هذا الربع

إذا كانت منظمتكم تدير بنية تحتية للرعاية الصحية أو مطالبات تأمين أو عمليات دافعين، فثلاثة أسئلة تنتمي إلى الاجتماع القادم للمجلس أو لجنة المخاطر التنفيذية:

  1. «ما التحقق الذي يُجريه مكتب الدعم قبل إعادة تعيين MFA لمتصل؟ هل اختبرناه بمكالمة هندسة اجتماعية واقعية في آخر 90 يوماً؟»
  2. «هل مديرونا السريريون وموظفو IT يستخدمون MFA مقاوماً للتصيد، أم ما زلنا نعتمد على SMS وpush؟»
  3. «لو نجح اختراق Scattered Spider غداً عبر مكتب الدعم، أي بيانات SaaS ستخرج من المنظمة، وبأي سرعة سنراها؟»

إذا لم تكن أي من هذه الإجابات ملموسة، فالمنظمة داخل سطح الهدف المحتمل لـ 2026.

أين يترك ذلك المدافعين

Scattered Spider هي التوضيح الأوضح حالياً لكيفية تحوّل الفدية من البرنامج الضار أولاً إلى الهوية أولاً. البرنامج الضار مهم، لكن الاختراق يبدأ بمكالمة هاتفية. تناوب القطاعات — التجزئة، الطيران، MSPs، الرعاية الصحية — هو هدية من المهلة نادراً ما يحصل عليها المدافعون في استخبارات التهديدات. CISO الرعاية الصحية، خاصة، لديهم الأشهر بين أبريل وبقية 2026 لنقل التحقق من مكتب الدعم وMFA المقاوم للتصيد ومراقبة SaaS من الخارطة إلى الإنتاج. المنظمات التي تستخدم طلقة التحذير في موقع مختلف جداً عن تلك التي تكتشف الدرس عبر حادث.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

هل Scattered Spider هي المجموعة نفسها مثل Muddled Libra وUNC3944؟

نعم. Scattered Spider هو الاسم المحايد تجاه الموردين لعنقود تهديد تتبّعه Mandiant كـ UNC3944، وPalo Alto Unit 42 كـ Muddled Libra، وMicrosoft كـ Octo Tempest، وموردون آخرون كـ Starfraud. المجموعة في معظمها شابّة، ناطقة بالإنجليزية، موجّهة بالهندسة الاجتماعية، وقد بدّلت انتماءاتها عبر ماركات فدية بما فيها ALPHV/BlackCat وRansomHub وDragonForce.

ما الذي يميّز هذه المجموعة عن شركاء الفدية التقليديين؟

ثلاثة أشياء. أولاً، يتقدمون بالهندسة الاجتماعية ضد مكاتب الدعم والأفراد بدلاً من استغلال ثغرات الخوادم. ثانياً، يفضّلون تسريب البيانات عبر APIs SaaS الشرعية (Salesforce، Snowflake) على إطلاق برامج ضارة مخصصة. ثالثاً، يدورون عبر القطاعات منهجياً — التجزئة، الطيران، MSPs، والآن الرعاية الصحية — مما يتيح للمدافعين التنبؤ بالهدف المحتمل التالي.

إذا لم نكن نعمل في الولايات المتحدة أو المملكة المتحدة، فهل ينبغي أن نستعد؟

نعم. تقنيات المجموعة ليست خاصة بالجغرافيا. تشارك الشركات متعددة الجنسيات العاملة في الجزائر ومنطقة MENA وإفريقيا طوبولوجيات SSO ومكتب الدعم وMSP نفسها التي تستغلها Scattered Spider، والممثلون المقلدون الذين يدرسون هذه الاختراقات نشطون بشكل متزايد عالمياً. الدليل الدفاعي هو نفسه بغض النظر عن منطقة عملياتكم الأساسية.

المصادر والقراءات الإضافية