عدد فدية هجمات تمت ملاحظتها في جميع أنحاء العالم ثابتة في يوليو ، وتزداد بنسبة 1 ٪ إلى 376 حالة مسجلة ، وفقا لآخر شهري نبض التهديد أرقام من شركة خدمات الأمن السيبراني مجموعة NCC.
يأتي هذا في أعقاب بداية مؤسف لكسر القيطر إلى عام 2025 ، ولكن كما لاحظ محللو NCC ، كلما كان الصيف أكثر راكدًا لا ينبغي أن يمنح الفرق الأمنية سببًا للفرح ، لأن التهديد يظل ثابتًا كما كان دائمًا. في يوليو ، كان هذا صحيحًا بشكل خاص بالنسبة للقطاع الصناعي ، الذي يحمل 101 ، أو 27 ٪ ، من الهجمات المسجلة.
كان القطاع التقديري للمستهلك ، بما في ذلك البيع بالتجزئة ، هو ثاني أكثر القطاعين الذين تعرضوا لهجوم في يوليو ، حيث ارتفعت الهجمات من 76 إلى 82 ، تليها 31 حادثًا تم الإبلاغ عنه ، والرعاية الصحية مع 30.
كما هو الحال دائمًا ، تكشفت غالبية هذه الهجمات في مسرح أمريكا الشمالية ، والتي تمثل 54 ٪ من الحوادث ، بانخفاض 3 ٪ على أساس شهري ، تليها أوروبا بنسبة 21 ٪ ، آسيا بنسبة 12 ٪ ، وأمريكا الجنوبية بنسبة 6 ٪.
حث رئيس ذكاء التهديد العالمي في NCC ، مات هال ، المنظمات على إصلاح السقف بينما لا تزال الشمس مشرقة.
وقال: “على الرغم من أن نشاط الفدية لا يزال ثابتًا نسبيًا في يوليو ، إلا أنه لا ينبغي أن يخطئ هذا الهدوء بسبب تقليل التهديد. لقد رأينا تراجعًا مماثلًا خلال أشهر الصيف من العام الماضي ، ومع ذلك ظل مستوى التهديد الإجمالي مرتفعًا”.
بينما ظل نشاط الفدية مسطحًا نسبيًا في يوليو ، لا ينبغي أن يكون هذا الهدوء مخطئًا بسبب تهديد مخفض
مات هال ، مجموعة NCC
“نتطلع إلى المستقبل ، نتوقع عودة المجموعات التي تعطلت سابقًا ، على الأرجح بالتعاون مع ممثلي الهندسة الاجتماعية للبدء في شن هجمات أكثر تطوراً ومنسقًا. الآن ليس الوقت المناسب للرضا.”
اندلع بسبب نشاط ممثل التهديد ، INC Ransom ظهر كزعيم للحزمة في يوليو ، وهو ما يمثل 54 هجومًا ، أو 14 ٪ من المجموع. كانت هجمات Inc Ransom في اتجاه تصاعدي ثابت منذ الربيع ، حيث استهدفت مقدمي خدمات البنية التحتية الوطنية الحرجة (CNI).
إن Ransom جدير بالملاحظة في المملكة المتحدة لكونه وراء سلسلة من اقتحامات مرتبطة NHS قرب نهاية عام 2024 وفي الولايات المتحدة من أجل الهجوم على Ahold Delhaize، الوالد الذي يتخذ من بنلوكس مقراً له لسلاسل الأسد المعروفة وسلاسل السوبر ماركت العملاقة.
ومن المعروف أيضًا باستهداف منتجات وخدمات Citrix ، والعديد من العيوب الجديدة التي كانت فيها ذكرت في الأشهر القليلة الماضية.
وعصابات أخرى نشطة بشكل خاص في يوليو كانت Qilin و Safepay ، مع 40 هجومًا لكل منهما ، وأكيرا مع 37. Dragonforce ، اعتادت على تأثير كبير ضد ماركس وسبنسر في المملكة المتحدة ، تمثل أقل بقليل من 20 حادثًا في يوليو.
وقت Qilin
هذا الشهر نبض التهديد كما عرض التقرير غوصًا أعمق في عملية Qilin Ransomware. كانت Qilin هي العصابة التي تقف وراء هجوم يونيو 2024 على مزود خدمات مختبر علم الأمراض في NHS Synnovis، ولكن منذ ذلك الحين ، نمت لتصبح طاقم الفدية الأكثر نشاطًا من قِبل NCC في يونيو 2025 ، ومع ما يقرب من 300 ضحية مسجلة حتى الآن هذا العام ، يعد بسهولة واحدة من أكثر الأعداء الذين يعملون حاليًا.
تستهدف العصابة الناطقة بالروسية في الغالب بقوة نقاط الضعف المعروفة في أدوات برامج المؤسسات المستخدمة على نطاق واسع من أمثال Fortinet و SAP و Veeam ، ومثل العديد من أقرانها ، رياضة لاستهداف منظمات CNI.
يعتبر Qilin العديد من الشركات التابعة للمشردين على أنها سيد من طراز الجريمة الفدية-كمرسمة (RAAS). بعد إغلاق Ransomhubوقال NCC إن في طريقه للقبض على عيون الشركات التابعة الأقل تفكيرًا تقنيًا.
تبرز العملية على إتقانها التقني وواجهةها السهلة الاستخدام التي تمكن الشركات التابعة من بناء حمولاتها بسهولة لاستهداف أنظمة محددة وإدارة مفاوضات الضحايا والمدفوعات. كما أن لديها هيكل عمولة تنافسي ، مع ما بين 80 ٪ و 85 ٪ من المدفوعات التي تذهب إلى الشركة التابعة ، وحتى تقدم لهم خدمات قانونية – بعد الموضة – للمساعدة في توجيههم في مفاوضاتهم.
وكتب محللو NCC: “لقد كان ظهور Qilin نتاجًا للاتجاهات الأوسع التي لوحظت في جميع أنحاء مشهد Ransomware”.
“تقدم الجهات الفاعلة التهديدات التي تشارك في أدوار متخصصة في نظام RAAS البيئي تابعين مجموعة واسعة من الخيارات.
وأضافوا: “يمكن لمطوري RAAS Platform متخصصين في إنشاء خدمة تجذب الشركات التابعة لها وتنتج أرباحًا لهم أيضًا. وقد أدى ذلك إلى مطوري وشركات تابعة تقنيًا يعملون في العصابات الرئيسية مثل Qilin”.
