عودة Cl0p بقوة في الربع الأول 2026: استهداف منصات نقل الملفات MFT لدى البنوك السعودية

رصدت منصات تتبع التهديدات تصاعداً غير مسبوق في نشاط عصابة Cl0p خلال الربع الأول من 2026، حيث وصلت أعداد الضحايا المُعلنة إلى 1,189 حادثة أساسية و2,708 حدث مرتبط. الأخطر أن الموجة الجديدة لا تعتمد على هجمات يدوية بل على استغلال جماعي لمنصات نقل الملفات المُدارة (Managed File Transfer - MFT) التي تشكّل العمود الفقري لتبادل البيانات بين المؤسسات المالية وشركائها.

لماذا تستهدف Cl0p منصات MFT تحديداً؟

منصات نقل الملفات المُدارة مثل MOVEit وGoAnywhere وCleo Harmony وIBM Sterling هي بنية تحتية صامتة موجودة في كل بنك سعودي تقريباً. تُستخدم لتبادل ملفات مقاصة SARIE وكشوف الحسابات مع شركات الكفالة المالية وملفات SWIFT وتقارير الامتثال مع البنك المركزي. تحتوي هذه الأنظمة على بيانات تشغيلية حساسة دون أن تخضع لنفس مستوى المراقبة الذي يحظى به نظام Core Banking.

تكمن جاذبية MFT لمجموعات الفدية في ثلاث نقاط: قابلية الوصول من الإنترنت بحكم وظيفتها، تخزينها لبيانات منظمة قابلة للابتزاز فوراً دون تشفير، وضعف رؤية فرق SOC لما يدور فيها. سجّل باحثو Akamai محاولات استغلال موجهة ضد عميل مالي خلال يناير 2026 قبل أن يوقفها محرك Adaptive Security Engine.

تكتيك "الانفجار" الذي يميّز الموجة الحالية

على عكس مجموعات الفدية التقليدية التي تتحرك بشكل أفقي خلال أسابيع داخل الشبكة، تعتمد Cl0p على نمط "burst attack" — استغلال ثغرة zero-day في منصة MFT شائعة الانتشار، ثم اقتحام عشرات الضحايا في نفس اليوم. ففي 1 فبراير 2026 سجّلت المنصات المتخصصة 22 ضحية في 24 ساعة، وبين 21 يناير و12 فبراير نشرت العصابة سلسلة دفعات متتالية من أسماء الضحايا على موقع التسريب.

السلاح المفضّل تاريخياً كان CVE-2023-34362 في MOVEit Transfer عبر ثغرة SQL Injection تُمكّن من زرع web shell باسم LEMURLOOT لاستخراج محتوى قواعد البيانات. الموجة الحالية تشير إلى وجود ثغرة zero-day جديدة لم تُكشف بعد علنياً، وفق محللي ransomware.live.

التأثير المباشر على المؤسسات المالية السعودية

تربط متطلبات SAMA Cyber Security Control Cybersecurity Compliance (CSCC) في الضابط 3.3.14 بشكل صريح أمن واجهات تبادل البيانات مع الأطراف الخارجية، فيما يفرض الضابط 4.2 إدارة المخاطر التشغيلية لمزودي الخدمة (Third-Party Risk Management - TPRM). أي اختراق لمنصة MFT لدى مزوّد خارجي للبنك يُترجم تلقائياً إلى:

أولاً، التزام بالإفصاح خلال 72 ساعة وفق إرشادات SAMA للإبلاغ عن الحوادث. ثانياً، احتمالية تسرّب بيانات شخصية يخضع لنظام حماية البيانات الشخصية (PDPL) وغرامات تصل إلى 5 ملايين ريال. ثالثاً، تأثير سمعي مضاعف لأن عصابة Cl0p تنشر الضحية على موقع تسريب علني حتى لو دُفعت الفدية. رابعاً، فقدان شهادة الامتثال PCI-DSS إذا شملت البيانات المسرّبة بطاقات أو بيانات حاملي البطاقات.

إطار حماية متعدد الطبقات

1. جرد منصات MFT الفعلية وغير الموثّقة: اعمل aspectوم scan شامل للأصول الرقمية مع التركيز على المنافذ 22, 80, 443, 8080 لاكتشاف منصات MFT المنسية أو التي نشرها فريق العمليات دون توثيق رسمي في CMDB.
2. عزل MFT خلف Web Application Firewall: ضع WAF (مثل F5 Advanced WAF أو Imperva) أمام جميع نقاط نهاية MFT المُعرّضة للإنترنت مع تفعيل حماية SQLi وقواعد ModSecurity OWASP CRS 4.0 كحد أدنى.
3. تطبيق مبدأ Zero Trust: لا تسمح بتبادل ملفات مع شركاء خارجيين دون بوابة وسيطة (DMZ) ومصادقة متعددة العوامل، ولا تترك بيانات على منصة MFT أكثر من 24 ساعة بعد التحويل.
4. مراقبة سلوكية على قواعد البيانات: فعّل Database Activity Monitoring (DAM) مع تنبيهات فورية على استعلامات SELECT شاذة أو إنشاء ملفات في مسارات webshell معروفة مثل human2.aspx.
5. اختبار اختراق ربع سنوي مخصص لـ MFT: اطلب من فريق pentest تنفيذ سيناريو "MOVEit-style" يحاكي تكتيكات Cl0p عبر إطار MITRE ATT&CK T1190 (Exploit Public-Facing Application).
6. تفعيل Threat Intelligence مرتبط بـ Cl0p: اشترك في تغذية IOCs محدّثة (مثل Recorded Future أو Mandiant) مع تكامل آلي إلى SIEM/SOAR لرصد ips ونطاقات leak sites المعروفة فور ظهورها.
7. خطة Tabletop خاصة بحوادث TPRM: نفّذ تمرين محاكاة سنوي يفترض اختراق منصة MFT لدى مزوّد خدمة خارجي وتسرّب بيانات عملاء، مع المشاركة الفعلية لإدارات القانون والامتثال والاتصال المؤسسي.

نقاط فحص فورية لرئيس أمن المعلومات

هل لديك جرد محدّث لكل منصات MFT التي تستخدمها مؤسستك ومزودوها؟ هل اشترطت في عقود مزودي الخدمة الإفصاح عن أي مخالفة أمنية خلال 24 ساعة؟ هل تمت مراجعة آخر تقرير SOC 2 Type II لمزودي MFT لديك خلال 12 شهراً الأخيرة؟ هل سجلات MFT مُمرّرة فعلياً إلى SIEM المركزي مع قواعد ارتباط فعّالة؟ غياب إجابة "نعم" واضحة عن أي من هذه النقاط يعني فجوة امتثال صريحة مع SAMA CSCC.

الخلاصة

صعود Cl0p في 2026 ليس مفاجأة بل تطور طبيعي لاستراتيجية أثبتت فاعليتها منذ MOVEit في 2023. ما تغيّر هو حجم الضحايا وسرعة الاستغلال الجماعي، ما يجعل منصات MFT بنية تحتية حرجة تستحق نفس اهتمام Core Banking في خطط الدفاع. الانتظار لحين الإعلان عن الثغرة التالية ليس استراتيجية — بل وصفة لكي يكون اسم مؤسستك التالي على موقع التسريب.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص خاص بمنصات MFT.