Qilin Ransomware: 55 ضحية في 2026 وهجوم على Die Linke — ما يجب أن يعرفه مسؤولو الأمن في البنوك السعودية

في الأول من أبريل 2026، أعلنت مجموعة Qilin للفدية مسؤوليتها عن اختراق حزب Die Linke الألماني وسرقة بيانات حساسة من أنظمته الداخلية. لم يكن هذا استثناءً — بل هو نمط. فقد سجّلت المجموعة أكثر من 55 ضحية منذ مطلع 2026 وحده، متجاوزةً إيقاعها في 2025، في حين أن 77 منظمة مالية حول العالم وقعت بالفعل ضحيتها خلال السنوات الماضية. للمسؤولين عن الأمن في المؤسسات المالية السعودية: هذا التهديد لا يمكن تجاهله.

من هي مجموعة Qilin وما الذي يجعلها خطيرة؟

Qilin — المعروفة أيضاً بـ Agenda — عصابة فدية تعمل بنموذج RaaS (Ransomware-as-a-Service)، وقد تجاوز إجمالي ضحاياها منذ تأسيسها 1,000 ضحية حول العالم. ما يميّزها عن غيرها أنها تكتب برمجياتها الخبيثة بلغة Rust و Go، مما يمنحها مرونة عالية في الانتشار عبر أنظمة Windows وLinux وVMware ESXi على حدٍّ سواء. تعتمد المجموعة على Double Extortion: تشفّر الملفات أولاً، ثم تهدد بنشر البيانات المسروقة علنياً إن لم يدفع الضحية. في بعض الهجمات، وصل حجم البيانات المسرّبة إلى 500 غيغابايت في عملية واحدة.

أساليب الاختراق والأدوات المستخدمة

تُعدّ رسائل التصيد الاحتيالي ناقل الوصول الأول الأكثر شيوعاً لدى Qilin، إذ تستهدف بيانات اعتماد أدوات الإدارة عن بُعد مثل ScreenConnect. بعد الاختراق، تنشر الأدوات التالية: Cobalt Strike للتحكم والتوجيه، وـSmokeLoader وـNETXLOADER لتحميل الحمولات الإضافية، وأدوات سرقة بيانات الاعتماد مثل Mimikatz وـDonPAPI، فضلاً عن PsExec وNetExec وWinRM للانتشار الجانبي داخل الشبكات. كما تستغل ثغرات موثّقة مثل CVE-2021-40444 وـCVE-2022-30190 (Follina) في مراحل متقدمة من الهجوم.

هجوم Die Linke وما كشفه عن منهجية المجموعة

في 27 مارس 2026، اكتشف حزب Die Linke الألماني اختراقاً في أنظمته، لم يُعلن عنه علنياً حتى أعلنت Qilin ملكيته على موقع تسريبها في الأول من أبريل. الهجوم كشف حقيقة مهمة: المجموعة لا تستهدف فقط الشركات الكبرى، بل تتوسع نحو الجهات ذات البيانات الحساسة سياسياً ومؤسسياً. في عملية منفصلة تُعرف بـ"Korean Leaks" في سبتمبر 2025، اخترقت Qilin 25 شركة مالية كورية جنوبية دفعةً واحدة عبر مزوّد خدمات مُدارة واحد — وهو نموذج هجوم ينطوي على مخاطر جسيمة للقطاع المالي السعودي الذي يعتمد اعتماداً كبيراً على موردين مشتركين.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA وNCA

مع 77 ضحية في القطاع المالي العالمي حتى الآن، فإن البنوك وشركات التأمين ومؤسسات الدفع الإلكتروني في المملكة العربية السعودية تقع ضمن دائرة الاستهداف المباشر. يُلزم إطار SAMA للأمن السيبراني (CSCC) المؤسسات المالية بامتلاك قدرات كشف ومكافحة برامج الفدية، بما يشمل عزل الأنظمة المصابة واستمرارية الأعمال. كذلك تُحدد ضوابط هيئة الاتصالات الوطنية (NCA ECC) معايير صارمة لإدارة نقاط الوصول والتحكم في الانتشار الجانبي. الهجوم عبر مزوّد خدمات مشترك يستوجب مراجعة فورية لبنود إدارة مخاطر الطرف الثالث وفق متطلبات SAMA، كما أن أي تسريب لبيانات عملاء يُشكّل انتهاكاً مباشراً لنظام حماية البيانات الشخصية (PDPL) وقد يستوجب إشعار الجهة الرقابية خلال 72 ساعة.

التوصيات والخطوات العملية

1. قيّد أدوات الإدارة عن بُعد: راجع فورياً صلاحيات ScreenConnect وRDP وأدوات مماثلة؛ طبّق المصادقة متعددة العوامل (MFA) على جميع جلسات الوصول البعيد دون استثناء.
2. اكتشف Cobalt Strike مبكراً: فعّل قواعد اكتشاف متقدمة لـ Cobalt Strike Beacons في بيئة EDR/SIEM، واستخدم مؤشرات اختراق (IoCs) محدّثة من مصادر موثوقة مثل AlienVault OTX أو Mandiant Advantage.
3. قسّم الشبكة (Network Segmentation): أنظمة الدفع الإلكتروني والبيانات المصرفية الحساسة يجب أن تكون في قطاعات معزولة تمنع الانتشار الجانبي الذي تعتمد عليه Qilin للوصول إلى أكبر عدد من الأنظمة قبل التشفير.
4. اختبر نسخك الاحتياطية الآن وليس عند الحاجة: SAMA CSCC يُلزم بوجود خطة استمرارية معتمدة؛ تأكد أن النسخ الاحتياطية غير متصلة بالشبكة الرئيسية (offline/immutable backups) وأجرِ اختبار استعادة دورياً.
5. راجع عقود مزودي الخدمات المُدارة: عملية Korean Leaks كشفت خطورة الاعتماد على MSP واحد. تحقق من أن كل مزود يلتزم بمتطلبات الأمن الخاصة بك، وأجرِ تقييماً دورياً لمخاطر الطرف الثالث.
6. فعّل خطة الاستجابة لحوادث الفدية: حدّد مسبقاً: من يتخذ قرار العزل؟ من يُشعر SAMA؟ من يتواصل مع العملاء؟ PDPL يتطلب إشعاراً في حالات تسريب البيانات الشخصية.

الخلاصة

مجموعة Qilin ليست مجرد عصابة فدية أخرى — هي منظومة متطورة تستهدف القطاع المالي بشكل ممنهج، وتعمل عبر حلفاء ذوي خبرة عالية. الهجوم على Die Linke في أبريل 2026 هو تذكير بأن لا أحد محصّن، وأن الاستعداد المسبق هو الفارق الوحيد بين حادثة مُدارة وكارثة تشغيلية. المؤسسات المالية في المملكة العربية السعودية التي تمتلك برامج أمن سيبراني ناضجة وفق SAMA CSCC هي الأقدر على الصمود في وجه هذه التهديدات.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتقييم جاهزيتك للتصدي لهجمات الفدية.