تقرير CrowdStrike 2026: التهديدات السيبرانية للقطاع المالي تقفز 43% وكوريا الشمالية تسرق ملياري دولار

نشرت CrowdStrike في 14 مايو 2026 تقريرها السنوي لمشهد التهديدات السيبرانية في القطاع المالي، وجاءت الأرقام صادمة: ارتفاع الاختراقات المباشرة (hands-on-keyboard) بنسبة 43% عالمياً خلال عامين، وظهور 423 مؤسسة مالية على مواقع تسريب البيانات بزيادة 27% عن العام السابق، فيما سرقت مجموعات كورية شمالية 2.02 مليار دولار من الأصول الرقمية في عام واحد. هذه ليست أرقاماً نظرية — بل خريطة تهديدات تطال كل بنك ومؤسسة مالية في المنطقة.

الاختراقات المباشرة للمؤسسات المالية: قفزة غير مسبوقة

أبرز ما كشفه التقرير هو الارتفاع الحاد في عمليات الاختراق التي يُديرها مهاجمون بشكل مباشر داخل الأنظمة — وليست هجمات آلية بسيطة. هذا النوع من الهجمات يعني أن المهاجم يتنقل يدوياً بين الأنظمة، يرفع صلاحياته، ويصل إلى البيانات الحساسة قبل أن تكتشفه أدوات الحماية التقليدية. النسبة بلغت 48% في أمريكا الشمالية وحدها، ما يشير إلى تحوّل واضح في أسلوب العمل: المهاجمون لم يعودوا يعتمدون على البرمجيات الخبيثة فقط، بل يستغلون هويات مسروقة وتطبيقات SaaS موثوقة للتسلل دون إطلاق أي إنذار.

كوريا الشمالية: من التجسس إلى السرقة الصناعية للأصول الرقمية

خصّص التقرير قسماً كاملاً لمجموعات DPRK-nexus التي حققت رقماً قياسياً بسرقة 2.02 مليار دولار من الأصول الرقمية خلال 2025 — بزيادة 51% عن العام السابق. مجموعة PRESSURE CHOLLIMA وحدها نفّذت أكبر سرقة مالية مُوثّقة في التاريخ بقيمة 1.46 مليار دولار عبر اختراق سلسلة توريد برمجية وتوزيع تحديثات ملغّمة. أما STARDUST CHOLLIMA فضاعفت عملياتها ثلاث مرات باستخدام تقنيات انتحال هوية مُجنّدين وبيئات مؤتمرات فيديو مُصطنعة تعمل بالذكاء الاصطناعي لاستهداف شركات التكنولوجيا المالية. مجموعة FAMOUS CHOLLIMA ضاعفت عملياتها مستهدفةً بورصات العملات الرقمية والبنوك التقليدية على حد سواء.

مجموعات الجريمة الإلكترونية: ابتزاز بدون تشفير

التقرير يرصد تحولاً جوهرياً في نموذج عمل مجموعات الفدية. مجموعة Coinbase Cartel — المرتبطة بمنظومة Scattered Spider وShinyHunters — تتبنى نهج سرقة البيانات دون تشفير الأنظمة. المهاجم يتسلل، يسرق البيانات بالكامل، ثم يبتز الضحية بالتهديد بنشرها. هذا الأسلوب أسرع وأصعب في الاكتشاف لأنه لا يُطلق إنذارات أدوات الحماية من الفدية التقليدية. مجموعة MUTANT SPIDER سجّلت أعلى حجم اختراقات عبر حملات Vishing (التصيد الصوتي)، ثم تبيع الوصول لمجموعات فدية أخرى — نموذج Access-as-a-Service يجعل الهجمات أسرع وأوسع نطاقاً.

التهديدات الصينية: شبكات ترحيل عابرة للحدود

مجموعة MURKY PANDA الصينية نشرت شبكة Operational Relay Box عبر أكثر من 150 نقطة في 36 دولة، استهدفت 340 منظمة في أكثر من 30 قطاعاً — والقطاع المالي من أكثر القطاعات استهدافاً. هذا النوع من البنية التحتية يجعل تتبّع مصدر الهجوم شبه مستحيل، حيث تمر الاتصالات عبر أجهزة مخترقة شرعية في دول متعددة قبل الوصول للهدف النهائي. بالنسبة للمؤسسات المالية في الخليج، هذا يعني أن مجرد حظر عناوين IP صينية لن يوفر حماية فعلية.

التأثير المباشر على المؤسسات المالية السعودية

البنوك والمؤسسات المالية السعودية الخاضعة لرقابة البنك المركزي (SAMA) ليست بمعزل عن هذه التهديدات. إطار SAMA Cyber Security Framework يُلزم المؤسسات بتطبيق ضوابط محددة لإدارة التهديدات المتقدمة (Threat Management)، ومراقبة الأحداث الأمنية (Security Event Monitoring)، وإدارة الثغرات (Vulnerability Management). لكن التقرير يكشف أن المهاجمين تجاوزوا أساليب الاختراق التقليدية إلى استغلال الهويات الرقمية وتطبيقات SaaS — وهي نقطة ضعف لا تُغطيها كثير من أدوات SOC التقليدية. متطلبات NCA ECC في نطاق Threat Intelligence (2-7) وIncident Response (2-9) تفرض على المؤسسات تحديث معلومات التهديدات بشكل مستمر — وتقرير كهذا يجب أن يُترجم فوراً إلى قواعد اكتشاف محدّثة في أنظمة SIEM وEDR.

التوصيات والخطوات العملية

1. تحديث نماذج التهديدات: أضف مجموعات DPRK-nexus وCoinbase Cartel إلى قائمة التهديدات ذات الأولوية في تقييم المخاطر، خاصة إذا كانت مؤسستك تتعامل مع أصول رقمية أو تستخدم خدمات SaaS واسعة النطاق.
2. مراقبة الهويات لا الشبكات فقط: مع تحوّل المهاجمين لاستغلال بيانات اعتماد مسروقة وجلسات OAuth، يجب نشر حلول Identity Threat Detection and Response (ITDR) ومراقبة سلوكيات المستخدمين غير الطبيعية في تطبيقات Microsoft 365 وGoogle Workspace.
3. اختبار سيناريوهات الابتزاز بدون تشفير: حدّث خطط الاستجابة للحوادث لتشمل سيناريو سرقة البيانات دون تشفير — كثير من المؤسسات لديها خطط للفدية التقليدية لكنها لا تملك إجراءات واضحة عندما يكون التهديد هو النشر وليس التشفير.
4. تقييم مخاطر سلسلة التوريد البرمجية: بعد سرقة PRESSURE CHOLLIMA لـ 1.46 مليار دولار عبر تحديث برمجي ملغّم، راجع قائمة الموردين والتحديثات التلقائية وطبّق ضوابط SAMA CSCC لإدارة مخاطر الأطراف الثالثة (Third-Party Risk Management).
5. تفعيل Threat Intelligence Feeds محدّثة: تأكد من أن مؤشرات الاختراق (IOCs) المرتبطة بالمجموعات المذكورة في التقرير محمّلة في أنظمة SIEM وEDR، وأن فريق SOC يراجع التنبيهات المرتبطة بها يومياً.
6. اختبار اختراق يحاكي هذه التكتيكات: نفّذ تمارين Red Team تحاكي تكتيكات Vishing وسرقة الهويات واستغلال SaaS — وليس فقط الاختبارات التقنية التقليدية لاستغلال الثغرات.

الخلاصة

تقرير CrowdStrike 2026 يؤكد أن القطاع المالي أصبح الهدف الأول للمجموعات الأكثر تطوراً في العالم — من مجموعات كوريا الشمالية التي تسرق المليارات، إلى مجموعات الجريمة المنظمة التي تبتز بدون تشفير، إلى مجموعات التجسس الصينية التي تبني شبكات ترحيل عالمية. الأرقام واضحة: 43% زيادة في الاختراقات المباشرة، و27% زيادة في ضحايا مواقع التسريب. المؤسسات المالية السعودية التي تعتمد فقط على أدوات الحماية التقليدية دون تحديث نماذج التهديدات واستراتيجيات الاكتشاف تواجه مخاطر حقيقية متصاعدة.

هل مؤسستك مستعدة لمواجهة هذه التهديدات المتقدمة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديث استراتيجية الحماية بناءً على أحدث معلومات التهديدات.