إحصائيات برامج الفدية الرئيسية والهجمات الأخيرة المتعلقة ببرامج الفدية [2025]

ما هو رانسوم وير؟

رانسوم وير هو نوع من البرمجيات الخبيثة التي تقوم بتشفير الملفات أو قفل المستخدمين عن أنظمتهم، وتطلب دفع فدية لاستعادة الوصول. يستهدف هذا النوع كل من الأفراد والمنظمات، وغالبًا ما يتسبب في أضرار كبيرة في العمليات والمالية.

بمجرد أن تصيب برامج الفدية نظامًا ما، تبدأ عادةً بتشفير الملفات باستخدام خوارزميات تشفير قوية. ثم يتلقى الضحايا رسالة تشرح كيفية دفع الفدية، عادةً بالعملات المشفرة، للحصول على مفتاح فك التشفير. بعض الأنواع تهدد أيضًا بتسريب البيانات المسروقة إذا لم يتم دفع الفدية.

تنتشر برامج الفدية من خلال رسائل البريد الإلكتروني الاحتيالية، والمرفقات الضارة، والمواقع المخترقة، أو الثغرات في الأنظمة المكشوفة. غالبًا ما تتضمن السلالات الحديثة ميزات مثل الانتشار عبر الشبكة، مما يسمح لها بالانتشار بسرعة عبر الأجهزة المتصلة.
هذا جزء من سلسلة من المقالات حول أمن المعلومات

إحصائيات رئيسية لبرامج الفدية في عام 2025

استمرت هجمات الفدية في التصاعد في عام 2025، سواء من حيث الحجم أو التعقيد.

• التحالف، مزود تأمين نشط، أشار إلى أن متوسط مطالبة التأمين ضد برامج الفدية ارتفع بنسبة 68% ليصل إلى 353,000 دولار.
• وفقًا لـ Cyble، زاد عدد حوادث برامج الفدية المبلغ عنها في الولايات المتحدة بنسبة 149% على أساس سنوي في الأسابيع الخمسة الأولى من عام 2025، مع 378 هجومًا مقارنة بـ 152 خلال نفس الفترة في عام 2024.
• BlackFog أيضًا حددت زيادة، مشيرة إلى 92 حادثة تم الكشف عنها في يناير 2025 وحده - بزيادة قدرها 22% عن العام السابق - وحددت 32 مجموعة فدية متميزة تعمل خلال تلك الفترة.
• 92% من الصناعات اعترفت بأن الفدية تهديد رئيسي، استنادًا إلى تقرير فيريزون لعام 2024 حول تحقيقات خروقات البيانات.
• سوفوس وجدت أن 59% من المنظمات تعرضت لهجمات فدية في 2024.
• Chainalysis قدرت أن مدفوعات برامج الفدية وصلت إلى 813.55 مليون دولار في عام 2024.
• Sophos أبلغت أن متوسط مدفوعات الفدية قفز من 400,000 دولار في 2023 إلى 2 مليون دولار في 2024.

استراتيجيات جديدة ونقاط ضعف

المهاجمون يستخدمون أيضًا أساليب أكثر عدوانية. لقد تم اعتماد أساليب الابتزاز الثلاثي - حيث يتم تشفير البيانات، وسرقتها، ثم استخدامها لتهديد الكشف العام - بشكل متزايد من قبل مجموعات التهديد مثل "فايس سوسايتي". كما أن الهجمات على سلسلة التوريد قد وسعت نطاق الأضرار الناتجة عن الاختراقات الفردية، كما يتضح من الحوادث البارزة التي تشمل "موف إت ترانسفير" من "بروغريس سوفتوير" واختراقات "سولار ويندز" و"كاسيا".

أخيرًا، لا يزال التصيد الاحتيالي هو نقطة الدخول السائدة. لقد جعل ارتفاع الذكاء الاصطناعي التوليدي من السهل على المهاجمين صياغة طُعم تصيد مقنع، مما ساهم في زيادة الوصول الناجح الأولي. كما أن خدمات الفدية كخدمة (RaaS) قد خففت أيضًا من الحواجز للدخول، مما يمكّن المزيد من الفاعلين من المشاركة باستخدام أدوات وبنية تحتية جاهزة.

حالة هجمات الفدية

لقد كانت هجمات برامج الفدية الأخيرة لا هوادة فيها، مع تأثير واسع النطاق عبر الصناعات. تسبب المهاجمون في تعطيلات كبيرة في الخدمة، وانتهاكات للبيانات، وإغلاق العمليات. إليك الحوادث الرئيسية والأضرار التي تسببت بها:

هجمات RansomHub:

• تم خرق قسم ميتلايف في أمريكا اللاتينية، مع الادعاء بسرقة 1 تيرابايت من البيانات.
• استهدفت American Standard، متهمة بسرقة 400 جيجابايت من البيانات الخاصة بالشركة.
• ضرب مجتمع الصحة في شمال غرب فلوريدا، مما أدى إلى تعطيل خدمات المرضى وسرقة 68 جيجابايت من البيانات الحساسة.
• تم اختراق معهد الموسيقيين، مدعيًا الحصول على 1 تيرابايت من البيانات المسروقة بما في ذلك الفواتير والمستندات الشخصية.

قطاع الرعاية الصحية يتعرض لضغوطات.

• مركز ريتشموند الجامعي الطبي: الهجوم أثر على أكثر من 670,000 فرد؛ تلاه انقطاع كبير في الخدمات.
• مجموعة صن فلاور الطبية: ادعى Rhysida الحصول على 3 تيرابايت من البيانات، بما في ذلك الهويات وبطاقات التأمين وقواعد البيانات.
• إكسلسيور لأمراض العظام: مجموعة قراصنة مونتي قامت باختراق بيانات 357,000 شخص.
• خدمات باي مارك الصحية: ادعت RansomHub أنها تمتلك 1.5 تيرابايت من بيانات المرضى والموظفين المسروقة.
• مستشفى إل كروس: سرقت مدوزا 760 جيجابايت من البيانات الطبية وطالبت بمبلغ 200,000 دولار بالبيتكوين.

اضطرابات في قطاع التعليم:

• PowerSchool: خرق ضخم أثر على 6505 منطقة مدرسية؛ حيث ادعى المهاجمون أنهم حصلوا على بيانات لأكثر من 62 مليون طالب و9.5 مليون معلم.
• منطقة مدارس أديسون نورث ويست: تم إيقاف الخوادم عن العمل؛ وقد أعلنت مجموعة ThreeAM مسؤوليتها.
• مدرسة ريفرديل كاونتري: ادعت مجموعة رانسوم هاب سرقة 42 جيجابايت من البيانات مع موعد نهائي للفدية مدته خمسة أيام.
• مدارس ساوث بورتلاند العامة: الهجوم أدى إلى إيقاف الشبكة، مما أثر على العمليات.

الأهداف الحكومية والبلدية:

• مكتب تسجيل الأراضي في سلوفاكيا: أدت برامج الفدية إلى تعطيل الخدمات العامة الحيوية.
• منطقة مونتريال-نور: هددت ريسيدا ببيع ملفات حكومية مسروقة إذا لم يتم دفع فدية قدرها مليون دولار.
• خدمة الطقس في جنوب أفريقيا: تسبب RansomHub في انقطاعات النظام على مدى عدة أيام.
• مدينة ويست هافن: ادعى كيلين حدوث خرق؛ تم إيقاف أنظمة المدينة واستعادتها جزئيًا.

انتهاكات كبيرة للشركات

• ستارك إيروسبيس: ادعت مجموعة INC أنها سرقت 4 تيرابايت من البيانات العسكرية والهندسية، بما في ذلك ملفات تصميم الطائرات بدون طيار.
• DEphoto (UK): Omid16B قام بتسريب صور العملاء وبيانات بطاقات الائتمان و555,000+ سجل شخصي.
• مجموعة بيكو (فنلندا): ادعى أكيرا أنه يمتلك 30 جيجابايت من الوثائق الداخلية وسجلات الموارد البشرية والبيانات المالية.
• بنك ميسيون (كاليفورنيا): ادعت RansomHub سرقة 2.7 تيرابايت من بيانات الموظفين والعملاء المالية.

حوادث ملحوظة أخرى:

• بنك سيتي بي إل سي (بنغلاديش): استغل فنكسيك ثغرة في الجلسة للوصول إلى بيانات العملاء المالية.
• تيليفونيكا (إسبانيا): هيلكات تسللت إلى أنظمة جيرا، وسرقت 500,000 سجل داخلي وبيانات الموظفين.
• شركة أفيري للمنتجات: أثر الخرق على أكثر من 60,000 فرد؛ تم سرقة بيانات بطاقات الائتمان والبيانات الشخصية.
• توماس كوك الهند: هجوم برمجيات الفدية أثر على أنظمة تكنولوجيا المعلومات؛ التحقيق جارٍ.

كيفية الحماية من برامج الفدية في عام 2025

إليك بعض الطرق الرئيسية التي يمكن للمنظمات من خلالها حماية نفسها من هجمات الفدية.

1. تنفيذ هندسة الثقة الصفرية

نموذج الثقة الصفرية يعامل كل طلب على أنه قد يكون عدائيًا، بغض النظر عن مصدره. يتطلب هذا النموذج تحققًا صارمًا من الهوية، والتحقق من الأجهزة، وسياسات وصول تعتمد على السياق. يجب التحقق من الهوية من خلال المصادقة متعددة العوامل (MFA)، ويفضل استخدام طرق مقاومة للتصيد مثل FIDO2 أو الرموز المادية.

يجب التحقق من الأجهزة للتأكد من الامتثال - مثل حالة حماية النقاط النهائية، مستوى تصحيح نظام التشغيل، والموقع - قبل منح الوصول. استخدم تقسيم الشبكة لعزل الأحمال، وفرض الوصول القائم على السياسات عبر الحدود المعرفة بالبرمجيات. المراقبة المستمرة أمر حاسم: تحليل سلوك الجلسة في الوقت الحقيقي وسحب الوصول عند اكتشاف أي شذوذ.

2. الحفاظ على استراتيجيات النسخ الاحتياطي الشاملة

تتطلب النسخ الاحتياطي الفعالة أكثر من مجرد لقطات منتظمة. يجب تشفير النسخ الاحتياطية أثناء التخزين والنقل لمنع التلاعب، وتخزينها في مواقع معزولة جسديًا ومنطقيًا - ويفضل أن تكون في تنسيقات WORM (اكتب مرة، اقرأ كثيرًا) أو في بيئات معزولة عن الشبكة. يجب تنويع أنواع النسخ الاحتياطية للشركة: استخدم النسخ الاحتياطية الكاملة، والنسخ الاحتياطية التفاضلية، والنسخ الاحتياطية التزايدية لتحسين سرعة الاسترداد وكفاءة التخزين.

تنفيذ روتينات تحقق من النسخ الاحتياطي الآلي التي تتحقق من سلامة الملفات، وتناسق الهاش، وإمكانية الاستعادة. توثيق وتدريب على سيناريوهات الاستعادة الكاملة عبر أنظمة التشغيل، وقواعد البيانات، والبيئات الافتراضية. كما يجب التأكد من أن أنظمة النسخ الاحتياطي نفسها محصنة وغير قابلة للوصول من الشبكات المؤسسية القياسية أو مجالات AD المستهدفة من قبل فاعلي برامج الفدية.

3. نشر أدوات متقدمة لكشف التهديدات

يتحرك ممثلو برامج الفدية بسرعة، وغالبًا ما يقومون بتشفير الأنظمة في غضون ساعات من الوصول الأول. لمواجهة ذلك، استخدم أدوات توفر رؤية عميقة في نشاطات النقاط النهائية والشبكة والسحابة.

يجب استخدام منصات SIEM التي تحتوي على تحليلات سلوكية للإشارة إلى سلوكيات مثل إعادة تسمية الملفات بسرعة، والوصول الجماعي إلى الملفات، وزيادة غير متوقعة في الامتيازات.

استخدم تقنيات الخداع (مثل الفخاخ أو الملفات الوهمية) للكشف عن الحركة الجانبية. يجب أن تراقب أدوات SIEM المعتمدة على السلوك علامات حركة مرور التحكم والأوامر (C2)، ونقل البيانات غير الطبيعي، وفحص SMB الجانبي. دمج SIEM مع منصات SOAR للسماح بالاحتواء التلقائي، مثل تعطيل الحسابات، وحظر عناوين IP، أو عزل الأجهزة، كل ذلك دون الحاجة إلى XDR مجمعة.

تعلم المزيد في دليلنا المفصل حولصيد التهديدات 

4. ضمان إدارة التحديثات بشكل شامل

قم بإعطاء الأولوية لتصحيح الثغرات بناءً على معلومات التهديد، ودرجات CVSS، وتوافر الاستغلال. حافظ على جرد حقيقي لجميع الأجهزة والبرامج والبرمجيات الثابتة في البيئة. طبق التصحيحات في موجات منظمة: اختبرها في بيئات معزولة، ثم نشرها في مجموعات تجريبية، ثم قم بتوسيعها إلى الإنتاج.

بالنسبة للثغرات الأمنية عالية المخاطر (CVE) التي يتم استغلالها في العالم، يجب تسريع دورات التصحيح وتطبيق إصلاحات خارج النطاق إذا لزم الأمر. يجب عزل الأنظمة القديمة التي لا يمكن تصحيحها باستخدام VLANs وقواعد الجدار الناري ووكالات الوصول. استخدم أدوات إدارة التكوين مثل Ansible وSCCM أو Chef لفرض وتدقيق إعدادات الأمان الأساسية. تتبع عمليات نشر التصحيحات الفاشلة وتنفيذ خطط التراجع للتعامل مع عدم الاستقرار دون ترك الأنظمة معرضة للخطر.

5. تعزيز أمان البريد الإلكتروني والاتصالات

لا يزال التصيد الاحتيالي هو الوسيلة الرئيسية لبرامج الفدية. استخدم بوابات البريد الإلكتروني الآمنة مع تصفية الذكاء الاصطناعي/تعلم الآلة، والتقنيات الرملية، ودمج معلومات التهديدات. طبق إعادة كتابة الروابط وحماية الوقت الفعلي لتأخير الوصول إلى الروابط الضارة. نفذ كشف التهديدات على مستوى المستخدم لمراقبة التفاعلات مع محتوى التصيد الاحتيالي وتكييف التدريب وفقًا لذلك.

حدد حدود إعادة توجيه البريد الإلكتروني، وفعل تشفير البريد الإلكتروني، وقم بتعطيل الماكرو بشكل افتراضي في مستندات المكتب. يجب أيضًا مراقبة منصات التواصل مثل Teams وSlack، حيث تستخدمها مجموعات الفدية بشكل متزايد لنشر البرمجيات الخبيثة داخليًا. درب الموظفين على إجراءات الإبلاغ عن الحوادث، وكافئ التعرف المبكر لبناء ثقافة قوية للإبلاغ.

6. تطوير واختبار خطة استجابة للحوادث

قم بإنشاء دليل استجابة للحوادث خاص ببرامج الفدية يتضمن كتيبات تشغيل مفصلة للسيناريوهات الشائعة مثل تشفير النقاط النهائية، وسرقة البيانات، أو اختراق النسخ الاحتياطية. قم بتضمين شجرات الاتصال، وجداول زمنية للإخطار القانوني، وبروتوكولات اتخاذ قرار الدفع بالعملات المشفرة (إذا كانت السياسة تسمح بذلك). احتفظ بنسخ ورقية وإصدارات غير متصلة بالإنترنت في حال كانت الأنظمة الأساسية غير متاحة.

إجراء محاكاة للحوادث بشكل ربع سنوي تشمل فرق تكنولوجيا المعلومات، القانون، الامتثال، والفرق التنفيذية لاختبار الخطة تحت ضغط الوقت الحقيقي. تسجيل ومراجعة نتائج كل اختبار لتحديد التأخيرات أو الارتباك أو الخطوات المفقودة. العمل مع مزودي التأمين السيبراني لضمان توافق عمليات الاستجابة مع متطلبات السياسة، والتأكد من الموافقة على إجراءات الطب الشرعي والاحتواء.

7. الانخراط في تبادل استخبارات التهديد

يتطلب الدفاع الاستباقي الوصول إلى أحدث تكتيكات الخصوم. اشترك في مصادر متعددة لمعلومات التهديد، بما في ذلك التغذيات التجارية (مثل Mandiant، Recorded Future)، والإشعارات الحكومية (مثل CISA، ENISA)، ومشاريع المصادر المفتوحة (مثل Abuse.ch، MalwareBazaar). قم بتطبيع وربط البيانات باستخدام بروتوكولات STIX/TAXII للتكامل في منصات SIEM.

استخدم تقنيات وأساليب محددة (TTPs) ومؤشرات الاختراق (IOCs) للبحث عن التهديدات داخل البيئة. شارك في منتديات محددة بالقطاع مثل FS-ISAC وH-ISAC أو InfraGard لتبادل الرؤى مع الزملاء الذين يواجهون تهديدات مشابهة. شارك بيانات الحوادث بشكل مجهول عند الإمكان - فهذا يساعد النظام البيئي الأوسع على الاستعداد وقد يؤدي إلى نصائح أسرع للتخفيف من البائعين والشركاء.

حماية من برامج الفدية باستخدام Exabeam

تمكن Exabeam من الكشف المبكر والاستجابة السريعة لبرامج الفدية من خلال تحليل سلوك المستخدمين والكيانات عبر البيئة بأكملها. بدلاً من الاعتماد على مؤشرات ثابتة أو قواعد محددة مسبقًا، تطبق Exabeam تحليلات متقدمة لاكتشاف الشذوذ الذي يشير إلى المراحل المبكرة من الهجوم. يشمل ذلك تغييرات غير عادية في الامتيازات، حركة جانبية، وصول مشبوه إلى أنظمة النسخ الاحتياطي، ونشاط غير طبيعي في الملفات.

تقوم المنصة تلقائيًا بإنشاء جداول زمنية تربط بين الأحداث ذات الصلة، مما يمنح المحللين السياق الكامل للحادث دون الحاجة إلى الربط اليدوي. يمكن لفرق الأمن رؤية كيفية تطور الهجوم بسرعة واتخاذ إجراءات مستنيرة.

يتكامل Exabeam مع الأدوات الموجودة لديك بما في ذلك EDR وCASB وأنظمة الهوية والبنية التحتية للنسخ الاحتياطي. ويغني تلك البيانات برؤى سلوكية ويقوم بأتمتة الاستجابة من خلال كتيبات التشغيل في نظام SIEM. يساعد هذا النهج المؤسسات على إيقاف برامج الفدية دون الحاجة إلى اعتماد منصات XDR الخاصة بالبائعين، مما يمنحهم المرونة والتحكم مع تحسين تغطية الكشف ووقت الاستجابة.

في النهاية، مع منصة Exabeam New-Scale، أفاد العملاء بتقليل التنبيهات بنسبة تصل إلى 60%، وتقليل أوقات التحقيق بنسبة تصل إلى 80%، والقدرة على الاستجابة للحوادث مثل هجمات الفدية بشكل أسرع بنسبة 50% مقارنةً بالحلول الأخرى. توفر الجداول الزمنية التلقائية للتهديدات والتحليلات السلوكية سياقًا فوريًا، مما يقلل من الجهد اليدوي ويظهر الحوادث الحرجة بشكل أكثر كفاءة. مع التكامل السلس، والكشف المسبق، وسير العمل البديهي، تساعد Exabeam المنظمات على تحسين نتائج الأمان، وتقليل التكاليف التشغيلية، والاستجابة للتهديدات في أقل من ساعة.