تراجع هجمات الفدية وارتفاع حاد في البرمجيات الخبيثة

أظهر التقرير الأمني الفصلي الأخير الصادر عن شركة «WatchGuard» للربع الأول من عام 2025 ارتفاعاً بنسبة 171 في المائة في عدد البرمجيات الخبيثة الفريدة التي رُصدت مقارنة بالربع السابق، وهي أعلى نسبة سجلها «مختبر التهديدات» التابع للشركة حتى الآن. ويعكس هذا الارتفاع مؤشراً لزيادة التهديدات المصممة لتجاوز أدوات الحماية التقليدية المعتمدة على الأنماط المعروفة.

طفرة في أساليب التخفي والهجمات عبر القنوات المشفّرة

رصد النظام المعتمد على تقنيات التعلّم الآلي زيادة بنسبة 323 في المائة في الكشف عن البرمجيات الخبيثة، في حين ارتفعت نسبة الاكتشافات عبر «بوابة مكافحة الفيروسات» بمعدل 30 في المائة، وزادت البرمجيات التي تستخدم قنوات «TLS» المشفرة بنحو 11 نقطة مئوية. وتؤكد هذه المؤشرات لجوء المهاجمين بشكل متزايد إلى تقنيات التشفير والتخفي لتفادي الرصد.

وعلى مستوى الأجهزة الطرفية، سجل المختبر قفزة بنسبة 712 في المائة في التهديدات الجديدة، ما يعكس انعطافة كبيرة بعد ثلاثة أرباع متتالية من التراجع. وكان أكثر أنواع البرمجيات شيوعاً في هذا المجال هو أداة تفريغ بيانات «LSASS»، التي تُستخدم لاستخراج بيانات الدخول من العمليات الحساسة في أنظمة «Windows» بهدف تجاوز ضوابط الوصول القياسية.

تصيّد مدعوم بالذكاء الاصطناعي وتحوّل في أهداف الفدية

قال كوري ناتشراينر، الرئيس التنفيذي لأمن المعلومات في «WatchGuard»: «تشير نتائج الربع الأول إلى أن معركة الذكاء الاصطناعي في الأمن السيبراني بدأت فعلاً. يستخدم المهاجمون أدوات مدعومة بالذكاء الاصطناعي لإطلاق حملات تصيّد اجتماعي دقيقة وبكفاءة عالية». وأضاف: «يتوجب على المؤسسات أن تتبنى أنظمة دفاع متقدّمة وسريعة الاستجابة لمواكبة هذا التطور المتسارع».

وعلى الرغم من أن البرمجيات الخبيثة من نوع «فدية» سجلت تراجعاً بنسبة 85 في المائة مقارنة بالربع السابق، فإن ثاني أكثر التهديدات رصداً كانت حمولة «Termite» وهي برمجية فدية متقدمة. وتشير النتائج إلى تراجع في برمجيات الفدية التي تعتمد على التشفير، بالتزامن مع تحوّل المهاجمين إلى سرقة البيانات بدلاً من تشفيرها، مستفيدين من تحسّن قدرات النسخ الاحتياطي والاسترداد.

تهديدات جديدة عبر البريد الإلكتروني وتقنيات متقدمة في الاصطياد

أفاد التقرير بانخفاض البرمجيات المعتمدة على «السكربتات» بنسبة تقارب 50 في المائة، وهو أدنى مستوى تاريخي لهذا النوع من الهجمات. وسُجّل ارتفاع بنسبة 18 في المائة في تقنيات «العيش على الأرض» (LoTL) مثل أدوات نظام «Windows»، ما يشير إلى اعتماد المهاجمين على أدوات نظامية يصعب تصنيفها كتهديد.

كما سُجّلت تهديدات ملحوظة على القنوات المشفّرة، أبرزها ملف HTML خبيث باسم «Trojan.Agent.FZPI»، الذي يجمع بين مكونات ملف قانوني المظهر وتقنيات تصيّد متطورة، ما يجعله تحدياً خاصاً لأنظمة الكشف الكلاسيكية. ويوصي الخبراء باعتماد التفتيش المتقدّم لحركة «TLS»، والتحليل السلوكي، وحماية النقاط الطرفية كخط دفاع أساسي.

برمجيات واسعة الانتشار تستهدف مناطق محددة

أما البرمجية الأكثر انتشاراً فكانت «Application.Cashback.B.0835E4A4»، وهي تهديد جديد احتل المرتبة الأولى من حيث الانتشار، خصوصاً في تشيلي بنسبة 76 في المائة، ثم إيرلندا بنسبة 65 في المائة. ويعكس هذا الانتشار أهمية تطوير آليات دفاع إقليمية متخصصة للتعامل مع تهديدات محلية.

ورغم انخفاض عدد التواقيع الشبكية الفريدة بنسبة 16 في المائة، فإن المهاجمين واصلوا استغلال ثغرات قديمة وغير محدثة، ما يُبرز الحاجة لمواءمة الجهود بين التصدي للثغرات الجديدة وتحصين الأنظمة ضد الهجمات التي تستهدف نقاط ضعف تاريخية.

ويخلص التقرير إلى أن البرمجيات الخبيثة تنتقل حالياً بشكل أكبر عبر البريد الإلكتروني بدلاً من الويب، في وقت بات فيه الذكاء الاصطناعي قادراً على تسهيل صياغة رسائل تصيّد دقيقة ومقنعة. وعلى الجانب الإيجابي، ساهمت أدوات الكشف المعتمدة على الذكاء الاصطناعي والتعلّم الآلي في تحديد عدد كبير من التهديدات عند المحيط الشبكي والنقاط الطرفية.