أظهر تقرير من CyberCube، حول التهديدات السيبرانية للنصف الثاني من عام 2025، أن هجمات برامج الفدية تشهد توسعاً متزايداً على مستوى العالم، مع دخولها إلى مناطق وقطاعات لم تكن ضمن الأهداف التقليدية سابقاً. ويشير التقرير إلى أن الهجمات باتت أقل قابلية للتنبؤ، ما يصعب على مسؤولي الأمن السيبراني تحديد اتجاه التهديدات المستقبلية.
اعتمدت الدراسة على تحليل أنماط الحوادث، وقياس مؤشرات التعرض على مستوى القطاعات، إلى جانب مؤشرات سلوكية تستند إلى تحركات الجهات التهديدية. وكان الهدف هو رسم خارطة تبين توسع هجمات برامج الفدية، وتحديد الجهات التي تقع ضمن مجموعات الخطر الأعلى، وفهم كيف تؤثر الوضعية الأمنية للجهات على درجة تعرضها.
برامج الفدية تتجه نحو مناطق جديدة ضعيفة الدفاعات
أكد التقرير أن برامج الفدية أصبحت ظاهرة عالمية، مع تسجيل زيادة واضحة في الحوادث في أسواق كانت سابقاً أقل استهدافاً. ورغم عدم الكشف عن نسب دقيقة لكل منطقة، إلا أن الاتجاهات الشهرية المركبة تظهر أن الجهات التهديدية باتت تميل إلى المناطق التي تتأخر في تبني الضوابط الأمنية أو تمتلك بنى دفاعية أقل نضجاً.
ويعود جزء من هذا التوسع إلى النشاط المستمر لمجموعات متمرسة، أبرزها مجموعة LockBit التي ما زالت نشطة في عدة دول. وبين التقرير وجود ارتباط مباشر بين نشاط LockBit وارتفاع مستوى المخاطر التي تواجه الجهات الحكومية في عدة مناطق.
تفاوت واضح في قوة الدفاعات بين القطاعات
عند المقارنة بين مختلف القطاعات، وجد الباحثون تبايناً كبيراً في مدى تكرار ظهور الإشارات السيبرانية السلبية، ومدى جودة البنية الأمنية الظاهرة. فقد أظهر بعضها مؤشرات دفاعية قوية مع إشارات سلبية منخفضة، بينما سجلت قطاعات أخرى إشارات أكثر إثارة للقلق وضعفاً في الضوابط.
وأشار التقرير إلى أن الانتماء إلى قطاع معين لا يعني بالضرورة امتلاك بنية دفاعية متقاربة، إذ تختلف وضعية الأمن السيبراني بشكل كبير بين الكيانات ضمن نفس القطاع. وتشمل الإشارات السلبية الأكثر ارتباطاً ببرامج الفدية المنافذ المفتوحة، والبرمجيات غير المحدثة، والخدمات المكشوفة عن بعد.
القطاع الحكومي في الواجهة مع مؤشرات تعرض مرتفعة
أولى التقرير اهتماماً خاصاً بالجهات الحكومية المحلية والإقليمية، بما يشمل الوزارات والهيئات والإدارات المختلفة. وأظهرت البيانات أن 53% من هذه الجهات تقع ضمن الفئة الأعلى من حيث المخاطر المرتبطة بمجموعة LockBit، ما يجعلها من بين الفئات الأكثر تعرضاً في الدراسة.
ويعزى ذلك إلى ضعف تبني الضوابط الأمنية في بعض هذه الجهات، رغم وجود تفاوت ملحوظ، حيث يحافظ بعضها على خطوط دفاع قوية، بينما لا تزال جهات أخرى تعمل بحدود دنيا من الحماية.
مجموعات المخاطر تبين تلاقي التعرض مع الضعف الأمني
جمعت الدراسة الجهات الحكومية في مجموعات وفقاً لمستويات التعرض وقوة البنية الأمنية. ظهرت نحو 16% منها في المجموعة التي تجمع بين التعرض المرتفع والضوابط الأمنية الضعيفة، وهي الفئة التي تمثل أعلى درجات القلق، نظراً لتوفر شروط تجذب الجهات التهديدية، مثل بطء التحديثات وسطح الهجوم الظاهر.
كما ظهرت مجموعة أخرى تمثل 19% من الجهات الحكومية، تتسم بتعرض مرتفع ولكن مع ضوابط أمنية أفضل، مما يجعلها أهدافاً مرغوبة ولكن بقدرة أعلى على الحد من تطور الهجوم إلى حادثة فدية فعلية.
أما بقية الجهات فتقع ضمن مجموعات تعرض منخفضة، وهي مناطق يمكن تحسين وضعها بشكل أسرع نظراً لانخفاض المخاطر الأساسية لديها.
الإشارات المبكرة تساعد على التنبؤ باتجاه التهديدات
شدد الباحثون على أهمية مراقبة المؤشرات المبكرة التي تسبق تصاعد النشاط السيبراني، مثل ارتفاع الإشارات السلبية، وتحولات أنماط التعرض، ودخول الجهات التهديدية إلى أسواق أو قطاعات جديدة. وعند تقاطع هذه المؤشرات، ترسم صورة توجيهية للمناطق التي يحتمل أن تشهد هجمات متزايدة في المستقبل القريب.
وتتطلب مواجهة هذا التهديد مراقبة مستمرة واستجابة مرنة من قِبل فرق الدفاع. إذ إن نمو نشاط برامج الفدية غالباً ما يرتبط بثغرات في التحديث، وارتفاع أسطح الهجوم، والتأخر في معالجة نقاط الضعف المعروفة. وربط التقرير هذه المؤشرات بزيادات فعلية في نشاط الفدية ضمن عدة قطاعات.
