إبريل 03, 2026

مجموعة DragonForce تستهدف شركات التأمين والتمويل: 3 ضحايا ماليين في 48 ساعة

ثلاث شركات مالية وتأمينية تسقط ضحية لمجموعة DragonForce خلال 48 ساعة فقط، مع تسريب أكثر من 170 جيجابايت من البيانات المالية الحساسة. ماذا يعني ذلك للقطاع المالي السعودي؟

FyntraLink Team

في مطلع أبريل 2026، نثرت مجموعة DragonForce سلسلة هجمات فدية منسّقة أصابت ثلاث شركات مالية وتأمينية كبرى خلال أقل من 48 ساعة، مسرّبةً أكثر من 170 جيجابايت من الفواتير والإقرارات الضريبية وبيانات العملاء على مواقع التسريب في الويب المظلم. هذا التصعيد يؤكد أن مجموعات الفدية باتت تتعامل مع القطاع المالي كهدف استراتيجي أول.

تفاصيل هجمات DragonForce على القطاع المالي

في الأول من أبريل 2026، أعلنت مجموعة DragonForce عن اختراق خوادم شركة First Trinity Financial Corporation (FTFC)، وهي شركة تأمين قابضة مقرها أوكلاهوما في الولايات المتحدة. وبالتزامن، ظهرت شركة Conrad Capital على موقع التسريب الخاص بالمجموعة، حيث زعم المهاجمون سرقة 74.23 جيجابايت من البيانات تشمل معلومات شخصية ومالية للعملاء، مع إنذار مدته خمسة أيام للتفاوض على الفدية.

أما الضحية الثالثة فكانت شركة التأمين الألمانية HanseMerkur، حيث ادّعت DragonForce تسريب نحو 97 جيجابايت من المستندات الداخلية تضمنت فواتير وسجلات ضريبية وقسائم مالية. كما طالت الهجمات شركة محاسبة Tange, Mann & Garza، مما يُظهر نمطاً واضحاً في استهداف سلسلة القيمة المالية بأكملها — من شركات التأمين إلى مزودي الخدمات المحاسبية.

من هي مجموعة DragonForce وما أساليبها؟

DragonForce مجموعة فدية ظهرت في 2024 وتطوّرت سريعاً لتصبح من أنشط المجموعات في 2026. تعتمد على نموذج الابتزاز المزدوج (Double Extortion): تشفير البيانات أولاً، ثم التهديد بنشرها علنياً إن لم تُدفع الفدية. تستغل المجموعة عادةً ثغرات في أنظمة VPN وبوابات الوصول عن بُعد غير المحدّثة، وتستخدم أدوات مثل Cobalt Strike وMimikatz للتحرك الأفقي داخل الشبكات.

اللافت في موجة أبريل 2026 هو التركيز الحصري على المؤسسات المالية والتأمينية، مما يشير إلى تحوّل استراتيجي نحو القطاعات ذات البيانات عالية القيمة والحساسية التنظيمية المرتفعة. المهاجمون يدركون أن شركات التأمين والتمويل ستدفع أسرع خوفاً من العقوبات التنظيمية المترتبة على تسريب بيانات العملاء.

التأثير المباشر على المؤسسات المالية السعودية

رغم أن الضحايا المعلنين حتى الآن خارج المنطقة، إلا أن هجمات DragonForce ترسل إنذاراً واضحاً للقطاع المالي السعودي. إطار عمل SAMA CSCC (Cyber Security Common Controls) يُلزم المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي بتطبيق ضوابط صارمة لمواجهة تهديدات الفدية تحديداً، وتشمل:

النطاق 3 (إدارة الثغرات) يتطلب تحديث جميع الأنظمة المكشوفة للإنترنت خلال فترات زمنية محددة، وهو ما كان سيمنع استغلال ثغرات VPN التي استخدمتها DragonForce. كذلك، يفرض النطاق 4 (إدارة الحوادث) وجود خطط استجابة مُختبرة لحوادث الفدية مع إجراءات عزل فوري للأنظمة المصابة. أما نظام حماية البيانات الشخصية (PDPL) فيُحمّل المؤسسة مسؤولية قانونية عن أي تسريب لبيانات العملاء، مما يضاعف تبعات هجمات الفدية التي تعتمد الابتزاز المزدوج.

كما تُلزم ضوابط NCA ECC الجهات الحكومية والبنية التحتية الحيوية بالإبلاغ عن حوادث الفدية خلال ساعات، وتطبيق إجراءات النسخ الاحتياطي المعزول (Air-Gapped Backup) التي تحول دون تشفير النسخ الاحتياطية ذاتها.

لماذا ينجح الابتزاز المزدوج ضد القطاع المالي؟

القطاع المالي يمثل الهدف المثالي لنموذج الابتزاز المزدوج لعدة أسباب: أولاً، البيانات المالية للعملاء (أرقام الحسابات، السجلات الائتمانية، بوالص التأمين) ذات قيمة سوقية عالية في أسواق الويب المظلم. ثانياً، الغرامات التنظيمية الناتجة عن التسريب قد تتجاوز مبلغ الفدية ذاته، مما يدفع بعض المؤسسات للدفع كخيار "أرخص". ثالثاً، الضرر السُمعوي في القطاع المالي كارثي — فقدان ثقة العملاء قد يعني خسارة حصة سوقية لا تُسترد.

مجموعة DragonForce تستغل هذه المعادلة بذكاء: إنذار الخمسة أيام الذي مُنح لشركة Conrad Capital ليس عشوائياً، بل مصمم لخلق ضغط زمني يمنع المؤسسة من اتخاذ قرار مدروس ويدفعها نحو الدفع السريع.

التوصيات والخطوات العملية

تطبيق إجراءات النسخ الاحتياطي المعزول (3-2-1 Rule): ثلاث نسخ على وسيطتين مختلفتين، واحدة منها معزولة تماماً عن الشبكة. تأكد من اختبار استعادة النسخ الاحتياطية شهرياً — 43% من المؤسسات تكتشف فشل النسخ الاحتياطي لحظة الحاجة إليها فقط.
مراجعة جميع بوابات الوصول عن بُعد: تحقق من تحديث أنظمة VPN (Fortinet, Pulse Secure, Cisco AnyConnect) وأغلق أي منافذ RDP مكشوفة. طبّق المصادقة متعددة العوامل (MFA) على جميع نقاط الدخول دون استثناء.
تفعيل مراقبة التحرك الأفقي (Lateral Movement Detection): استخدم أدوات EDR متقدمة مثل CrowdStrike Falcon أو Microsoft Defender for Endpoint لرصد استخدام أدوات مثل Mimikatz وPsExec وCobalt Strike داخل الشبكة.
إعداد Playbook مخصص لحوادث الفدية: يجب أن يتضمن إجراءات العزل الفوري، قائمة التصعيد، خطوات التواصل مع الجهات التنظيمية (SAMA، NCA)، ومعايير اتخاذ قرار الدفع أو الرفض.
تقييم مخاطر سلسلة التوريد: هجمات DragonForce على شركات المحاسبة تُظهر أن اختراق مزود خدمة واحد قد يكشف بيانات عشرات العملاء. راجع عقود الأطراف الثالثة وتحقق من التزامهم بمعايير SAMA CSCC و PCI-DSS.

الخلاصة

موجة هجمات DragonForce في أبريل 2026 ليست حادثة معزولة، بل جزء من تحوّل ممنهج في استراتيجيات مجموعات الفدية نحو استهداف القطاع المالي والتأميني بشكل حصري. المؤسسات المالية السعودية التي تمتثل فعلياً لمتطلبات SAMA CSCC — لا شكلياً فحسب — تملك بنية دفاعية قادرة على صد هذا النوع من الهجمات. لكن الامتثال الورقي دون اختبار حقيقي لإجراءات الاستجابة والنسخ الاحتياطي يجعل المؤسسة هدفاً سهلاً.

هل مؤسستك مستعدة لمواجهة هجمات الفدية المتقدمة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل محاكاة سيناريو فدية كامل واختبار فعالية خطط الاستجابة والتعافي.