DragonForce RaaS: مجموعة الفدية التي تضرب شركات التأمين والمالية — 136 ضحية والسعودية في دائرة الخطر

في الوقت الذي تتصدر فيه ثغرات النظام عناوين الأخبار السيبرانية، تواصل مجموعة DragonForce للفدية-كخدمة (RaaS) ضرباتها الصامتة والمدروسة ضد قطاعي التأمين والخدمات المالية حول العالم. مع تجاوز قائمة ضحاياها حاجز 136 مؤسسة، وتوثيق هجمات موجّهة ضد شركات تأمين في أوروبا وأمريكا خلال الفترة من فبراير إلى أبريل 2026، باتت المؤسسات المالية الخاضعة لرقابة هيئة السوق المالية السعودية (SAMA) أمام تهديد لا يحتمل المراقبة من بُعد.

ما هو DragonForce وكيف يعمل نموذج RaaS الخاص به؟

DragonForce ليس مجرد برنامج فدية؛ إنه نموذج أعمال إجرامي متكامل. تعمل المجموعة وفق نموذج Ransomware-as-a-Service، إذ تُتيح بنيتها التحتية وأدواتها لعملاء آخرين من المجرمين الإلكترونيين لشنّ هجمات باسمها أو بأسماء مستقلة. هذا يعني أن من يقف خلف الهجوم قد يكون طرفاً ثالثاً استأجر الأداة، مما يُعقّد عملية الإسناد والتتبع. وفقاً لتقارير شركة Sophos، رصدت المجموعة ما يزيد على 136 ضحية على موقع تسريباتها حتى مارس 2026، في مؤشر واضح على التوسع المتسارع.

يعتمد DragonForce على ثلاث مراحل رئيسية في هجماته: الوصول الأولي عبر بيانات اعتماد مسروقة أو ثغرات VPN وRDP، ثم الحركة الجانبية الهادئة لجمع البيانات الحساسة وتحديد الأنظمة الحيوية، وأخيراً التشفير المزدوج مصحوباً بالتهديد بنشر البيانات المسلوبة — في ما يُعرف بـ "الابتزاز المزدوج".

الضربات الموثقة ضد التأمين والخدمات المالية في 2026

رصد الباحثون الأمنيون ثلاثة هجمات بارزة تستهدف قطاع التأمين والخدمات المالية خلال الأشهر الثلاثة الأولى من 2026. في فبراير، أعلنت DragonForce مسؤوليتها عن اختراق شركة التأمين الألمانية HanseMerkur International، ادّعت فيه سرقة ما يزيد على 97 جيجابايت من البيانات الداخلية، تشمل وثائق مالية وسجلات ضريبية وملفات مرتبطة بشركة تأمين شريكة في منطقة الخليج. وفي مارس 2026، استُهدفت شركة Oriska Insurance الأمريكية المتخصصة في تغطيات المشاريع الصغيرة، مع تهديد صريح بنشر بيانات العملاء ووثائق المطالبات. وفي أبريل 2026، وقعت First Trinity Financial، الشركة القابضة لعدة شركات تأمين على الحياة في الولايات المتحدة، ضحيةً لهجوم DragonForce بحسب ما أفادت به منصة RedPacket Security.

هذا النمط يكشف استراتيجية واضحة: المجموعة تُركّز على المؤسسات التي تحتفظ ببيانات عملاء حساسة وليديها التزامات تنظيمية صارمة بالإبلاغ عن الاختراقات، مما يُضاعف الضغط للدفع بدلاً من الإفصاح.

التأثير على المؤسسات المالية وشركات التأمين في السعودية

تخضع شركات التأمين في المملكة العربية السعودية لرقابة مزدوجة من SAMA وهيئة التأمين، مع إلزامها بالامتثال لإطار SAMA CSCC ومتطلبات الإبلاغ عن الحوادث السيبرانية. اختراق ناجح من نوع DragonForce على منظومة نظام إدارة وثائق التأمين أو منصة المطالبات يعني: تسرّب بيانات مؤمَّنين يُعرّض المؤسسة للمسؤولية وفق نظام حماية البيانات الشخصية PDPL، وتعطّل خدمات حيوية يُخلّ بمتطلبات استمرارية الأعمال في SAMA CSCC (الضوابط 3-3-3 و3-4-1)، فضلاً عن إخفاق محتمل في الإبلاغ خلال النوافذ الزمنية المحددة ما قد يُفضي إلى غرامات تنظيمية. ولا تقتصر المخاطر على شركات التأمين؛ البنوك التجارية وشركات التمويل وصناديق الاستثمار — جميعها في دائرة استهداف DragonForce كما يتضح من ضحيته الأحدث First Trinity Financial.

ناقلات الهجوم الأكثر شيوعاً في القطاع المالي

تعتمد DragonForce في اختراق المؤسسات المالية على عدة مسارات موثقة. أولها استغلال بوابات VPN وRDP التي لم تُطبَّق عليها التحديثات الأمنية، وهو ثغرة شائعة في بيئات العمل الهجين. ثانيها التصيّد الاحتيالي الموجّه (Spear-Phishing) لاختطاف بيانات اعتماد المسؤولين والمديرين. ثالثها استغلال موردين وطرف ثالث ذوي صلاحيات واسعة على أنظمة المؤسسة دون ضوابط كافية. وقد رصدت أدوات الكشف في محيط بعض الضحايا حركة LDAP غير مألوفة وإلغاءاً لحماية VSS (Volume Shadow Copies) كمؤشرات مبكرة على وجود DragonForce في الشبكة.

التوصيات والخطوات العملية وفق SAMA CSCC وNCA ECC

1. تطبيق مبدأ الامتياز الأدنى (Least Privilege) فورياً: مراجعة جميع حسابات الخدمة وصلاحيات الوصول عن بُعد، وإلغاء أي صلاحيات مفرطة لم تُستخدم خلال 30 يوماً — تماشياً مع الضابط 2-6-1 في SAMA CSCC.
2. تفعيل MFA مقاومة للتصيّد على جميع الوصولات عن بُعد: لا يكفي OTP بعد الآن؛ انتقل إلى FIDO2/Passkeys أو بطاقات الهوية الذكية على بوابات VPN والبريد الإلكتروني المؤسسي.
3. اختبار سيناريو برمجيات الفدية في تمرين محاكاة (Tabletop Exercise): وفق متطلبات اختبار الاستمرارية في SAMA CSCC (الضابط 3-4-3)، يجب أن يُغطي التمرين سيناريو التشفير المزدوج والبت في قرار الدفع من عدمه.
4. تطبيق قاعدة النسخ الاحتياطي 3-2-1-1: ثلاث نسخ، وسيطان مختلفان، نسخة خارج الموقع، ونسخة معزولة تماماً عن الشبكة (Air-Gapped) — وهو ما يتوافق مع ضوابط استمرارية الأعمال في NCA ECC-2:1-4.
5. تفعيل مراقبة LDAP وحركة VSS: برمجة قواعد SIEM للتنبيه الفوري عند حذف Shadow Copies أو استعلامات LDAP الشاملة من أجهزة غير إدارية.
6. تقييم أمان الطرف الثالث: مراجعة عقود الموردين والتأكد من امتثالهم لإطار أمان سلسلة الإمداد المنصوص عليه في SAMA CSCC (الضابط 3-3-5) والمتوافق مع ISO 27036.

الخلاصة

DragonForce ليست مجرد أداة فدية تقنية — إنها آلة ابتزاز مالية تستهدف القطاع الذي يُعاني أكثر من غيره من تبعات الإفصاح عن الاختراقات: التأمين والخدمات المالية. استهدافها المتكرر لشركات تأمين ومؤسسات مالية في الربع الأول من 2026 يُرسل إشارة واضحة لمجتمع CISO في المملكة العربية السعودية: ليست الصناعة أو الجغرافيا بمنأى عن الخطر.

المؤسسات التي تعمل وفق إطار SAMA CSCC تمتلك الأساس التنظيمي الصحيح، غير أن الامتثال الورقي لا يكفي — الفجوة بين الضابط المكتوب والتطبيق العملي الموثق هي بالضبط ما تستغله DragonForce. إغلاق تلك الفجوة يبدأ بتقييم موضوعي مستقل.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديد فجوات الحماية قبل أن تكتشفها DragonForce.