سجّل الربع الثالث من عام 2025 ذروة جديدة في مشهد هجمات الفدية، مع رصد 85 مجموعة نشطة تعمل على النشر والابتزاز، وهو أعلى رقم يُوثّق حتى الآن. ما كان يومًا سوقًا مركّزًا تسيطر عليه منصّات الفدية الكبرى (RaaS) تحوّل إلى بيئة متناثرة يقودها عشرات الفاعلين المستقلين قصيري العمر، منبثقين من انهيار مجموعات بارزة مثل RansomHub و8Base وBianLian.
وعلى امتداد 85 موقع تسريب، نشر المهاجمون 1,592 ضحية جديدة خلال الربع، بمعدل 535 إفصاحًا شهريًا، بينما لم تسجّل أكبر عشر مجموعات سوى 56% من إجمالي الضحايا، بعدما كانت تهيمن بـ71% مطلع العام.
ركز هذا التشظّي على جانب بالغ الحساسية: تراجع القدرة على توقّع تكتيكات المهاجمين. فبينما كانت البنى الهرمية الواسعة تسمح بتتبع أنماط السلوك والبنية التحتية، جعلت المواقع الصغيرة المتفرعة عملية الإسناد أكثر هشاشة، وأضعفت قيمة الاستخبارات القائمة على السمعة.
الإنفاذ القانوني يفشل في كبح المد… والشبكات تتجدد بسرعة
تشير البيانات إلى أن حملات التفكيك البارزة التي استهدفت مجموعات كبرى خلال العام لم تُفضِ إلى تراجع ملموس في حجم الهجمات. فبمجرد انهيار منصة مركزية، ينتقل المنفذون — وهم جوهر النشاط — إلى مواقع جديدة أو يعيدون تشكيل أنفسهم تحت أسماء مختلفة خلال أيام.
المعضلة بنيوية: عمليات الإنفاذ تستهدف غالبًا البنى التحتية ولا تطال مشغّلي الهجمات الفعليين. ومع ظهور مجموعات صغيرة غير مستقرة، تزداد الفوضى في «سوق الفدية»، وتنخفض معدلات الدفع التي لا تتخطى 25–40%، بفعل فقدان الضحايا ثقتهم في أن المهاجمين سيسلمون مفاتيح فك التشفير أو يلتزمون بالاتفاقيات.
عودة LockBit 5.0… بداية دورة توحيد جديدة؟
في سبتمبر 2025، عاد أحد أكثر الأسماء ثباتًا في عالم الفدية بإطلاق LockBit 5.0، بعد أشهر من الوعود التي أطلقها المشرف المعروف باسم LockBitSupp منذ عملية «كرونوس» عام 2024.
الإصدار الجديد جاء مدعومًا بـ:
-
نسخ محسّنة لأنظمة Windows وLinux وESXi
-
سرعة أعلى في التشفير وقدرات مراوغة مطوّرة
-
بوابات تفاوض مستقلة لكل ضحية
وسجّلت المجموعة أكثر من 12 ضحية في الشهر الأول، في إشارة إلى تجدد ثقة الشركاء وعودة التنظيم إلى قدرته التقليدية.
ومقارنة بالمجموعات الصغيرة غير المستقرة، يوفر الانضمام إلى علامة راسخة مثل LockBit قيمة مضافة: السمعة. فالضحايا يميلون للدفع لمجموعة يعتقدون أنها ستسلّم مفاتيح التشفير فعليًا، وهو عنصر جاذبية قد يسمح لـ LockBit بإعادة تركيز جزء كبير من اقتصاد الفدية حوله، ما يعيد «القابلية للتتبع» لكنه في المقابل يرفع مخاطر الهجمات الواسعة والمنسّقة.
مشهد الهجمات عالميًا… وتبدلات لافتة في الاستهداف
تواصل الولايات المتحدة تصدّر قائمة الضحايا، إذ شكّلت نحو نصف إجمالي الحالات في الربع الثالث، فيما دخلت كوريا الجنوبية قائمة العشرة الكبار للمرة الأولى مدفوعة بحملة مركزة من Qilin تجاه المؤسسات المالية. أما أوروبا، لا سيما ألمانيا والمملكة المتحدة، فظلت تحت ضغط مستمر من مجموعات مثل Safepay وINC Ransom.
وعلى مستوى القطاعات:
-
شكّلت الصناعات التحويلية وخدمات الأعمال نحو 10% لكل منهما.
-
بقي قطاع الرعاية الصحية عند 8%، رغم تجنّب بعض المجموعات — مثل Play — استهدافه تفاديًا للضجة الرقابية.
وتكشف هذه الأنماط طبيعة السوق الحالية، حيث يُحدّد «الاعتبار التجاري» بوصلة المهاجمين: بيانات قيّمة، وقدرة منخفضة على تحمّل التوقف، ومردود ابتزازي مرتفع.
