تقرير BlackFog للربع الأول 2026: هجمة واحدة فقط من كل 9 هجمات فدية يُفصح عنها وسرقة البيانات تبلغ 96%

كشف تقرير BlackFog لحالة هجمات الفدية في الربع الأول من 2026 عن حقيقة مقلقة: من بين كل تسع هجمات فدية تقع فعلياً، هجمة واحدة فقط يُفصح عنها علنياً. بينما سجّلت الجهات الرسمية 264 هجمة معلنة، رصد التقرير 2,160 هجمة غير معلنة في 97 دولة — مع بلوغ معدلات سرقة البيانات 96% من إجمالي الحوادث.

أرقام صادمة: ما لا تراه أخطر مما تعرفه

وفقاً لبيانات BlackFog المنشورة في مايو 2026، سُجّلت زيادة بنسبة 2% في إجمالي هجمات الفدية مقارنة بالعام السابق. لكن الأرقام الحقيقية أكثر إثارة للقلق: 2,160 هجمة غير معلنة خلال ثلاثة أشهر فقط، بمتوسط حجم بيانات مسروقة يبلغ 743 غيغابايت لكل حادثة. المهاجمون يمنحون ضحاياهم مهلة متوسطها 7.7 أيام فقط للاستجابة لمطالب الفدية، مع تجاوز متوسط مبالغ الفدية المطلوبة حاجز المليون دولار.

هذا يعني أن المؤسسات التي تعتمد على تقارير الحوادث العلنية لتقييم مشهد التهديدات تفتقد 89% من الصورة الفعلية. القرارات الأمنية المبنية على بيانات ناقصة بهذا الحجم تُعرّض المؤسسة لمخاطر جسيمة.

مجموعات الفدية الأكثر نشاطاً: Qilin وThe Gentlemen وAkira

تصدّرت مجموعة Qilin قائمة الهجمات غير المعلنة بـ 339 هجمة تمثل 16% من الإجمالي، تليها مجموعة The Gentlemen بـ 200 هجمة (9%)، ثم Akira بـ 190 هجمة (9%). اللافت هو السرعة التي أثبتت بها The Gentlemen حضورها منذ ظهورها في 2025، حيث نفّذت 273 هجمة حتى نهاية الربع الأول 2026 — وهو نمط يعكس نضجاً تشغيلياً مبكراً ينذر بتحوّل في منهجية دخول المجموعات الجديدة إلى ساحة الفدية.

التحوّل الاستراتيجي واضح: المهاجمون لم يعودوا يركّزون على تشفير الأنظمة وتعطيلها فحسب، بل انتقلوا إلى سرقة بيانات الاعتماد والحفاظ على وصول مستمر واستخراج البيانات بصمت. نموذج الابتزاز المزدوج والثلاثي أصبح القاعدة وليس الاستثناء.

القطاعات المستهدفة: التصنيع في المقدمة والقطاع المالي في دائرة الخطر

احتل قطاع التصنيع المرتبة الأولى في الهجمات غير المعلنة بأكثر من خُمس إجمالي الحوادث، يليه قطاع الخدمات المهنية والرعاية الصحية وتقنية المعلومات. القطاع المالي يبقى هدفاً ذا قيمة عالية نظراً لحساسية البيانات المالية وقابليتها للابتزاز، خصوصاً في ظل ضغوط الامتثال التنظيمي التي تجعل المؤسسات أكثر ميلاً لدفع الفدية بدلاً من المخاطرة بالإفصاح العلني.

التأثير المباشر على المؤسسات المالية السعودية

تفرض متطلبات الإطار التنظيمي للأمن السيبراني الصادر عن البنك المركزي السعودي (SAMA CSCC) التزامات صريحة تتعلق بالإبلاغ عن الحوادث السيبرانية والاستجابة لها. النطاق 3.3.3 من الإطار يُلزم المؤسسات المالية بإنشاء قدرات كشف واستجابة فعّالة، بينما تشترط الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA ECC) آليات واضحة لإدارة حوادث التسريب.

كما أن نظام حماية البيانات الشخصية (PDPL) يفرض التزامات إخطار في حالة تسريب البيانات الشخصية، مما يعني أن أي هجمة فدية تنجح في استخراج بيانات العملاء قد تُفعّل متطلبات تنظيمية متعددة في وقت واحد. رقم 96% لسرقة البيانات في تقرير BlackFog يجعل هذا السيناريو شبه مؤكد في حالة أي اختراق ناجح.

والأخطر من ذلك: إذا كانت 89% من الهجمات عالمياً لا يُفصح عنها، فكم هجمة استهدفت مؤسسات في المنطقة دون أن يعلم أحد؟ غياب الشفافية يُضعف القدرة الجماعية على بناء استخبارات تهديدات فعّالة.

التوصيات والخطوات العملية

1. تفعيل منظومة كشف سرقة البيانات (Data Exfiltration Detection): مع بلوغ معدل الاستخراج 96%، لم يعد كافياً الاعتماد على كشف التشفير فقط. يجب نشر أدوات DLP متقدمة ومراقبة حركة البيانات الصادرة باستخدام حلول NDR مثل Darktrace أو Vectra مع ضبط تنبيهات لنقل كميات غير اعتيادية من البيانات.
2. اختبار خطة الاستجابة للحوادث ضد سيناريو الابتزاز المزدوج: أجرِ تمارين محاكاة (Tabletop Exercises) تتضمن سيناريو يجمع بين تشفير الأنظمة وتهديد بنشر بيانات العملاء، مع إشراك الفريق القانوني وفريق الامتثال لضمان تغطية متطلبات الإبلاغ وفق SAMA CSCC وPDPL.
3. تقييم سطح الهجوم الخارجي بشكل دوري: استخدم خدمات Attack Surface Management للكشف عن الأصول المكشوفة والخدمات غير المحدّثة التي تمثل نقاط دخول مفضّلة لمجموعات الفدية، مع التركيز على أجهزة الحافة (Edge Devices) وبوابات VPN.
4. تطبيق مبدأ الحد الأدنى من الصلاحيات وتقسيم الشبكة: قلّل نطاق الضرر المحتمل بتطبيق Zero Trust Architecture وتقسيم الشبكة الداخلية لمنع الحركة الجانبية (Lateral Movement) التي يعتمد عليها المهاجمون لاستخراج أكبر كمية من البيانات.
5. بناء قدرات استخبارات التهديدات المحلية: لا تعتمد فقط على التقارير العلنية. اشترك في خدمات Threat Intelligence تغطي المنطقة العربية وتتابع مجموعات مثل Qilin وThe Gentlemen التي تستهدف منطقة الشرق الأوسط بنشاط متزايد.

الخلاصة

تقرير BlackFog للربع الأول 2026 يرسم صورة واقعية لمشهد تهديدات الفدية: الهجمات أكثر بكثير مما يظهر على السطح، وسرقة البيانات أصبحت الهدف الرئيسي وليس مجرد تكتيك إضافي. المؤسسات المالية السعودية الخاضعة لرقابة البنك المركزي تحتاج إلى تحديث استراتيجياتها الدفاعية لتعكس هذا الواقع الجديد — من التركيز على منع التشفير إلى الكشف المبكر عن سرقة البيانات والاستجابة السريعة للحوادث.

هل مؤسستك مستعدة لمواجهة هجمات الفدية الحديثة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وقدرات الاستجابة للحوادث.