دروس من هجمات الفدية على الشركات السعودية — حوادث حقيقية وكيف تحمي نفسك

هجمات الفدية في المملكة — الأرقام الصادمة

تُعد هجمات الفدية (Ransomware) من أخطر التهديدات السيبرانية التي تواجه المؤسسات السعودية اليوم. وفقاً لبيانات ransomware.live، تم رصد أكثر من 57 ضحية مؤكدة في المملكة، مع تسريبات بيانات تجاوزت 6 تيرابايت في حادثة واحدة وفقاً لتقرير Infosecurity Magazine. مجموعات هجومية متقدمة مثل DragonForce وEverest وQilin وKillSecurity تستهدف المملكة بشكل نشط ومتكرر.

وفقاً لتقرير IBM لتكلفة اختراق البيانات 2024، يبلغ متوسط تكلفة هجمة الفدية عالمياً 5.13 مليون دولار — وهو رقم يتضاعف في منطقة الشرق الأوسط حيث يبلغ متوسط تكلفة الاختراق 8.75 مليون دولار.

القطاعات الأكثر استهدافاً في المملكة

القطاع	نسبة الاستهداف	سبب الاستهداف
الطاقة والنفط	عالي جداً	بنية تحتية حيوية، استعداد عالٍ للدفع
الرعاية الصحية	عالي	بيانات حساسة، ضرورة استمرار الخدمة
التجزئة والتجارة	متوسط-عالي	بيانات دفع، حجم عمليات كبير
البناء والمقاولات	متوسط	مشاريع رؤية 2030، حماية ضعيفة نسبياً
التعليم	متوسط	بيانات طلاب، ميزانيات أمنية محدودة

أنماط الهجمات المرصودة في المنطقة

النمط 1: الابتزاز المزدوج (Double Extortion)

لم يعد المهاجمون يكتفون بتشفير البيانات. يسرقون نسخة منها أولاً ثم يُهددون بنشرها علناً إذا لم تُدفع الفدية. هذا يجعل حتى المؤسسات التي تمتلك نسخاً احتياطية عُرضة للابتزاز بسبب حساسية البيانات المسروقة.

النمط 2: استهداف سلسلة التوريد

يخترق المهاجمون مورّداً صغيراً أقل حماية ثم يستخدمونه كنقطة دخول للوصول إلى العملاء الأكبر. هذا النمط خطير بشكل خاص في المملكة حيث تعتمد المشاريع الكبرى على شبكة واسعة من المقاولين والمورّدين.

النمط 3: هجمات الفدية كخدمة (RaaS)

مجموعات مثل DragonForce تُقدم أدوات الفدية كخدمة لمهاجمين أقل مهارة مقابل حصة من الفدية. هذا وسّع دائرة المهاجمين بشكل كبير — لم يعد تنفيذ هجمة فدية يتطلب خبرة تقنية متقدمة.

مراحل هجمة الفدية — فهم سلسلة الهجوم

فهم كيف تتطور هجمة الفدية يساعد في بناء دفاعات فعّالة في كل مرحلة. معظم هجمات الفدية تتبع سلسلة هجوم (Kill Chain) مكونة من 7 مراحل:

• المرحلة 1 — الاستطلاع: يجمع المهاجم معلومات عن المؤسسة المستهدفة: الموظفين، البنية التحتية، أنظمة التشغيل، والبرمجيات المستخدمة. يستخدم أدوات OSINT ومواقع التواصل الاجتماعي
• المرحلة 2 — الدخول الأولي: يخترق المهاجم الشبكة عبر رسالة تصيد أو ثغرة في VPN/RDP. في 65% من الحالات، يكون البريد الإلكتروني هو نقطة الدخول وفقاً لتقرير Verizon DBIR 2024
• المرحلة 3 — التثبيت والاستمرار: يُثبّت المهاجم أدوات وصول عن بُعد (RAT) ويُنشئ حسابات باب خلفي لضمان استمرار الوصول حتى لو اكتُشف الاختراق الأولي
• المرحلة 4 — الحركة الجانبية: ينتقل المهاجم بين الأنظمة داخل الشبكة باستخدام بيانات اعتماد مسروقة، محاولاً الوصول لأكبر عدد من الخوادم ونقاط التخزين. تجزئة الشبكة (Network Segmentation) تُبطئ هذه المرحلة بشكل كبير
• المرحلة 5 — سرقة البيانات: قبل تشفير أي شيء، يسرق المهاجم نسخة من البيانات الحساسة لاستخدامها كورقة ضغط إضافية (الابتزاز المزدوج)
• المرحلة 6 — التشفير: يُشفّر المهاجم جميع الملفات والأنظمة المتاحة في وقت واحد، عادة في عطلة نهاية الأسبوع أو خارج ساعات العمل لتأخير الاكتشاف
• المرحلة 7 — طلب الفدية: تظهر رسالة الفدية مع تعليمات الدفع بالعملات الرقمية ومهلة زمنية. المبالغ المطلوبة تتراوح من مئات الآلاف إلى ملايين الدولارات

لماذا لا يجب دفع الفدية

رغم الضغط الهائل لاستعادة البيانات والعودة للعمل، يُنصح بشدة بعدم دفع الفدية لعدة أسباب مدعومة بالأدلة:

• لا ضمان للاستعادة: وفقاً لتقرير Sophos 2024، فقط 65% من المؤسسات التي دفعت الفدية استعادت بياناتها بالكامل. البقية استعادت جزءاً فقط أو لم تستعد شيئاً
• الاستهداف المتكرر: 80% من المؤسسات التي دفعت الفدية تعرضت لهجوم ثانٍ — المهاجمون يعرفون أنك "عميل يدفع"
• تمويل الجريمة: كل فدية تُدفع تموّل تطوير أدوات هجوم أكثر تطوراً وتستهدف مؤسسات أخرى
• المسؤولية القانونية: في بعض الحالات، دفع الفدية لمجموعات مُدرجة على قوائم العقوبات الدولية قد يُعرّض المؤسسة لمسؤولية قانونية

البديل الأفضل دائماً هو الاستعادة من نسخ احتياطية مُختبرة ومعزولة، مع الإبلاغ الفوري للهيئة الوطنية للأمن السيبراني والتعاون مع فرق الاستجابة للحوادث المتخصصة.

استراتيجية الحماية الشاملة

الطبقة 1: الوقاية

• تحديث جميع الأنظمة والتطبيقات فوراً — 60% من الهجمات تستغل ثغرات معروفة وفقاً لـ CISA
• تفعيل MFA على جميع نقاط الوصول، خاصة VPN وRDP والبريد الإلكتروني
• تجزئة الشبكة (Network Segmentation) لمنع الانتشار الجانبي
• تدريب الموظفين على التعرف على رسائل التصيد

الطبقة 2: الكشف

• نشر حلول EDR/XDR على جميع نقاط النهاية
• مراقبة حركة الشبكة للكشف عن أنماط الابتزاز (تشفير جماعي للملفات)
• استخدام حلول الذكاء الاصطناعي لكشف السلوك المشبوه في الوقت الفعلي

الطبقة 2.5: صيد التهديدات الاستباقي (Threat Hunting)

• بدلاً من انتظار التنبيهات، ابحث بشكل استباقي عن مؤشرات الاختراق (IoCs) في بيئتك
• ابحث عن: حسابات جديدة غير مُبررة، أدوات إدارة عن بُعد غير معتمدة (AnyDesk, TeamViewer)، وحركة بيانات غير عادية في ساعات خارج الدوام
• راقب مؤشرات محددة لمجموعات الفدية النشطة في المنطقة: DragonForce تستخدم أداة Cobalt Strike، Qilin تستهدف أنظمة VMware ESXi
• أنشئ "مصائد" (Honeypots) — ملفات وخوادم وهمية تُنبّهك فور الوصول إليها، مما يكشف المهاجم في مرحلة الحركة الجانبية

الطبقة 3: الاستجابة والتعافي

• النسخ الاحتياطي المعزول (Air-gapped): الحل الأفعل — نسخ احتياطية غير متصلة بالشبكة، تُختبر شهرياً
• خطة استجابة مُختبرة مع أدوار واضحة وإجراءات تصعيد
• الإبلاغ الفوري للهيئة الوطنية للأمن السيبراني خلال ساعة للحوادث الحرجة
• الاحتفاظ بنسخة من الأدلة الجنائية الرقمية قبل أي عملية استعادة

أكثر من 57 مؤسسة سعودية وقعت ضحية لهجمات الفدية، بتكلفة تتجاوز 8.75 مليون دولار لكل حادثة في الشرق الأوسط. الاستثمار في النسخ الاحتياطي المعزول والكشف المبكر يمكن أن يوفر ملايين الدولارات.

هل مؤسستك جاهزة لمواجهة هجمات الفدية؟ نايت شيلد تقدم تقييم جاهزية الفدية (Ransomware Readiness Assessment) الذي يفحص دفاعاتك ويكشف نقاط الضعف قبل أن يكتشفها المهاجمون. تواصل معنا للحصول على تقييم.