كارتل DragonForce يستهدف شركات إدارة الثروات: درس لـ SAMA وCMA

في 18 مارس 2026، أعلن كارتل DragonForce اختراقه لشركة Conrad Capital Management الأمريكية لإدارة الاستثمارات وسرقة 74.23 جيجابايت من بيانات عملاء أصحاب الثروات. يمثل الهجوم تحولاً واضحاً في بوصلة المجموعة من قطاعَي التصنيع والتجزئة نحو شركات إدارة الثروات والاستثمار، ويفرض على الكيانات السعودية الخاضعة لـ SAMA وCMA إعادة تقييم فوري لوضعها الدفاعي.

من هم DragonForce ولماذا يشكلون تهديداً لشركات الاستثمار السعودية؟

DragonForce مجموعة فدية كخدمة (RaaS) ظهرت في 2023، وحققت قفزة كبيرة منذ 2025 حتى وصل عدد ضحاياها على موقع التسريب إلى 363 مؤسسة بنهاية يناير 2026. في مارس 2025 أعلنت المجموعة تحولها إلى نموذج "كارتل"، حيث تسمح للتابعين (Affiliates) باستخدام بنيتها التحتية وأدواتها مع الاحتفاظ بهويتهم الخاصة، مقابل عمولة 20% فقط — ما جعلها قبلة لمنفذي الهجمات المتقدمين الباحثين عن أدوات جاهزة وحصة أعلى من الفدية.

اللافت في حادثة Conrad Capital أن الضحية شركة استشارات استثمارية مسجلة (RIA)، وهو ما يعادل في السوق السعودية شركات إدارة الأصول والاستثمار المرخصة من هيئة السوق المالية (CMA) وأذرع البنوك للخدمات المصرفية الخاصة الخاضعة لإشراف ساما. هذه الكيانات تحتفظ ببيانات عملاء عالي الثروة (HNW)، وتفاصيل محافظ، وهويات بنكية، ووثائق KYC ثقيلة — كلها أهداف عالية القيمة في سوق ابتزاز البيانات. الأخطر أن متوسط طلب الفدية في القطاع المالي بلغ 3 ملايين دولار وفق مسح Sophos الأخير، وهو الأعلى بين كل القطاعات.

التكتيكات التقنية: BYOVD وSystemBC وحمولات متعددة

تعتمد المجموعة في الوصول الأولي على هندسة اجتماعية متقدمة، خصوصاً انتحال هوية مكاتب مساعدة تقنية المعلومات عبر الهاتف (Vishing) لاستهداف موظفي Help Desk وانتزاع بيانات الاعتماد أو إعادة تعيين MFA. هذا التكتيك تحديداً نجح ضد عمالقة مثل Marks & Spencer وHarrods في حملات سابقة، ويمكن تكراره بسهولة في بيئات Help Desk السعودية الناطقة بالإنجليزية.

تقنياً، تستخدم DragonForce أسلوب "أحضر السائق المعطوب الخاص بك" (BYOVD) لتعطيل حلول EDR الشرعية عبر تحميل سائقين موقعين لكن مصابين بثغرات معروفة. بعد ذلك، يُنشر SystemBC لإقامة قناة قيادة وتحكم مستمرة عبر SOCKS5، وMimikatz لاستخراج بيانات الاعتماد من ذاكرة LSASS، وCobalt Strike Beacons للحركة الجانبية والتصعيد. الأخطر هو اعتماد المجموعة على حمولات متعددة الأنواع مبنية على باني LockBit Black وConti المسربَين، ما يجعل التوقيعات الثابتة (IOCs) عديمة الفائدة ضدها ويجبر فرق SOC على الاعتماد على تحليل السلوك (Behavioral Analytics).

التأثير على المؤسسات المالية السعودية والشركات الخاضعة لـ SAMA وCMA

إطار SAMA Cyber Security Framework وضوابط CSCC يفرضان على البنوك وشركات الدفع متطلبات صارمة في إدارة الهوية، ومراقبة Help Desk، وحماية النسخ الاحتياطي، والكشف عن السلوك الشاذ. لكن شركات إدارة الثروات والاستثمار الخاضعة لـ CMA، والشركات الزميلة لمؤسسات SAMA المتعاقدة معها، كثيراً ما تعمل بمستوى نضج أقل، وتمثل بوابة جانبية يُستغل من خلالها الوصول إلى منظومة العميل النهائي عبر سلسلة التوريد.

وفق نظام حماية البيانات الشخصية (PDPL)، أي تسريب لبيانات عملاء سعوديين يُلزم الشركة بإشعار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال مدة محددة من الاكتشاف، إضافة إلى احتمال غرامات إدارية صارمة. كما تشترط ضوابط NCA ECC وCSCC على المنشآت الحساسة قدرات استجابة موثقة وقابلة للتدقيق، وفقدها أمام هجوم بهذا التطور سيعرض المنشأة لإجراءات تأديبية مزدوجة من الجهتين التنظيميتين، فضلاً عن المخاطر السمعية أمام عملاء HNW.

التوصيات العملية للحماية الفورية

1. فعّل سياسة "MFA-resistant phishing" مثل FIDO2 لجميع حسابات الإدارة وHelp Desk، واعتمد التحقق متعدد القنوات قبل أي إعادة تعيين MFA لمنع هندسة Vishing الاجتماعية.
2. طبّق قائمة حظر السائقين الموقعة من Microsoft (vulnerable driver blocklist) مع تفعيل HVCI وWDAC لإيقاف هجمات BYOVD على نقاط النهاية.
3. اعزل النسخ الاحتياطية في تخزين Immutable مع قواعد WORM، واعتمد قاعدة 3-2-1-1-0 وتحقق دورياً من قابلية الاستعادة (Restore Test) — هذا الإجراء وحده عطّل مفاوضات الفدية في كثير من الحوادث.
4. راقب مؤشرات SystemBC وCobalt Strike Beacons في حركة الشبكة الخارجة، خصوصاً نشاط بروتوكول SOCKS غير المعتاد على المنافذ غير القياسية، وادمج تغذية تهديدات DragonForce في SIEM وXDR.
5. وسّع برنامج إدارة مخاطر الأطراف الثالثة (TPRM) ليشمل شركاء إدارة الثروات وموفري التقنية، واطلب تقارير SOC 2 Type II حديثة وتقييماً لقدرات الاستجابة للحوادث وفق CSCC.
6. أجرِ تمرين Tabletop ربع سنوي يحاكي سيناريو ابتزاز مزدوج مع تسريب بيانات عملاء HNW، ووثّق قنوات الاتصال مع SAMA-CSIRT والهيئة الوطنية للأمن السيبراني.

الخلاصة

تحول DragonForce نحو قطاع إدارة الثروات إشارة لا يمكن تجاهلها: المجرمون اكتشفوا أن البيانات المالية لعملاء HNW تساوي أكثر من خطوط الإنتاج. الكيانات السعودية الخاضعة لـ SAMA وCMA تواجه تقاطعاً تنظيمياً فريداً (CSCC + ECC + PDPL) يجعل كلفة الفشل مضاعفة من حيث الغرامات والسمعة وثقة العملاء. الإجراء الاستباقي اليوم أرخص بكثير من إدارة أزمة غداً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.