DragonForce يخترق Conrad Capital: درس لبنوك SAMA في إدارة الموردين

في 18 مارس 2026، أعلنت عصابة DragonForce مسؤوليتها عن اختراق شركة Conrad Capital Management الأمريكية وسرقة 74.23 جيجابايت من بيانات العملاء المالية والشخصية، مع منح الشركة مهلة خمسة أيام للتفاوض. الحادثة تعيد إلى الواجهة سؤالاً ملحاً لمؤسساتنا المالية في المملكة: هل نحن جاهزون فعلاً لهجوم مماثل عبر سلسلة التوريد وفق متطلبات SAMA CSCC؟

تشريح هجوم DragonForce على القطاع المالي

شركة Conrad Capital، المتخصصة في إدارة المحافظ والاستثمارات البديلة منذ 1998، استُهدفت بهجوم Double Extortion كلاسيكي: تسريب البيانات أولاً ثم التشفير. عصابة DragonForce، التي بدأت كحركة هاكتيفيست في 2023 ثم تحوّلت إلى نموذج Ransomware-as-a-Service بنهاية 2024، باتت تستهدف القطاع المالي بشكل ممنهج. حتى الآن نشرت العصابة بيانات أكثر من 363 ضحية على موقعها في الويب المظلم، أغلبها شركات استشارات مالية ومكاتب محاماة وشركات إدارة ثروات تحتوي على بيانات عملاء حساسة قابلة للاستثمار في الاحتيال المباشر وانتحال الهوية وحملات الاستثمار الاحتيالي.

كيف تحصل DragonForce على وصولها الأولي

تكتيكات الوصول الأولي لهذه العصابة تعتمد على ثلاثة محاور رئيسية: استغلال ثغرات أجهزة الحافة Edge (مثل Citrix NetScaler وFortinet FortiOS وIvanti Connect Secure)، وحملات تصيّد موجّهة لكوادر العمليات والمالية والموارد البشرية، وشراء بيانات اعتماد VPN من Initial Access Brokers في منتديات XSS وExploit. بعد الدخول، يستخدم المهاجمون أدوات Living-off-the-Land مثل PsExec وWMIC وbitsadmin للحركة الجانبية، ثم يستخرجون البيانات عبر Rclone وMega.io قبل تفعيل التشفير. هذا التسلسل يتيح للعصابة تجاوز أنظمة EDR التقليدية التي تركّز على سلوك التشفير دون مراقبة سرقة البيانات في مرحلة ما قبل الانفجار.

التأثير على المؤسسات المالية السعودية

الدرس المستفاد يصيب صميم متطلبات SAMA CSCC في الضابط 3.3.5 (إدارة أمن الموردين) و3.3.14 (الاستجابة لحوادث الأمن السيبراني). كثير من البنوك السعودية تعتمد على مزوّدي خدمات إدارة الأصول والاستشارات المالية ومنصّات تكنولوجيا التداول الذين يحتفظون بنسخ من بيانات العملاء — وأي اختراق لديهم يخلق التزاماً تنظيمياً مزدوجاً: إخطار SAMA خلال نافذة الإبلاغ المحددة وفق دليل الإبلاغ عن الحوادث، وإخطار الأشخاص المتأثرين وفق نظام حماية البيانات الشخصية PDPL خلال 72 ساعة من علم المؤسسة بالحادثة. على مستوى NCA ECC، الضوابط 2-7-3 (إدارة الأطراف الثالثة) و2-13 (إدارة حوادث الأمن السيبراني) تُلزم المؤسسات بضمان أن مزوّديها يطبّقون مستوى حماية مكافئاً لمستواهم — وهذا ما يفشل فيه الكثير من المؤسسات عند التدقيق التنظيمي.

التوصيات والخطوات العملية

1. تصنيف الموردين حسب المخاطر: ضع كل مزوّد يحتفظ ببيانات العملاء أو بيانات الدفع في الفئة الحرجة، واطلب منه تقرير SOC 2 Type II أو ISO 27001 محدّث، مع حق التدقيق التعاقدي السنوي وحق الانسحاب الفوري عند الإخلال.
2. مراقبة سرقة البيانات (Data Exfiltration): فعّل قواعد DLP على بوابات الإنترنت لرصد الرفع غير الطبيعي إلى Mega.io وRclone وأي خدمات تخزين سحابية غير معتمدة، مع تحديد حدود قصوى يومية لكل مستخدم وتنبيهات عند تجاوزها.
3. تجزئة الشبكة (Network Segmentation): اعزل بيئات الموردين المرتبطين بالشبكة عبر Microsegmentation وZero Trust Network Access، بحيث يصل المورد فقط إلى الموارد المحدّدة في عقده دون إمكانية الحركة الجانبية.
4. اختبار خطة الاستجابة للحوادث المرتبطة بالموردين: أجرِ تمريناً سنوياً (Tabletop Exercise) يحاكي اختراق مزوّد رئيسي، مع التركيز على آليات الإخطار التنظيمي خلال النوافذ الزمنية المحددة من SAMA وNCA وهيئة حماية البيانات.
5. إدارة الهويات لمزوّدي الخدمة: طبّق MFA إلزامي مقاوم للتصيّد (FIDO2) لجميع حسابات الموردين، مع مراجعة ربع سنوية لصلاحيات الوصول وإلغاء فوري عند انتهاء العقد أو تغيّر الأدوار.
6. مراقبة الويب المظلم (Dark Web Monitoring): اشترك في خدمات استخبارات تهديدات تتابع منتديات Initial Access Brokers ومواقع تسريب البيانات لرصد أي ذكر لمؤسستك أو لموردي الخدمة قبل الإعلان العام للحادثة.
7. تشفير البيانات لدى الموردين: اشترط تشفير البيانات في حالة السكون وأثناء النقل لدى أي مزوّد، مع إدارة المفاتيح من جانبك (BYOK) متى أمكن، حتى لو سُرقت البيانات تكون عديمة القيمة للمهاجم.

الخلاصة

هجوم DragonForce على Conrad Capital ليس حدثاً معزولاً، بل نمط متكرر يكشف هشاشة سلسلة التوريد في القطاع المالي. البنك السعودي الذي يعتمد على عشرات المزوّدين دون تطبيق ضوابط SAMA CSCC القسم الثالث على كل مزوّد، يضع نفسه أمام مخاطر مالية وتنظيمية وسمعية متراكمة. الاستثمار في برنامج Third-Party Risk Management ناضج لم يعد خياراً، بل هو شرط للاستمرار في الترخيص ولحماية ثقة العملاء.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.