مجموعة Lazarus تتبنى برنامج فدية Medusa لاستهداف الشرق الأوسط والقطاع الصحي

كشف تحقيق مشترك بين فريقَي Symantec وCarbon Black Threat Hunter عن تحوّل خطير في تكتيكات مجموعة Lazarus الكورية الشمالية: المجموعة باتت تستخدم برنامج الفدية Medusa في هجمات مباشرة تستهدف مؤسسات في الشرق الأوسط وقطاع الرعاية الصحية الأمريكي، مع تسجيل أكثر من 366 ضحية ومتوسط فدية يبلغ 260,000 دولار لكل عملية.

من هي مجموعة Lazarus ولماذا التحول إلى Medusa؟

مجموعة Lazarus — المعروفة أيضاً باسم Diamond Sleet وPompilus — هي وحدة اختراق تابعة لجهاز الاستخبارات العسكرية في كوريا الشمالية (RGB). اشتهرت تاريخياً بعمليات سرقة العملات المشفرة وهجمات التجسس، لكنها انتقلت مؤخراً إلى نموذج الابتزاز المزدوج عبر تبنّي Medusa Ransomware-as-a-Service (RaaS) الذي تديره مجموعة Spearwing منذ عام 2023. هذا التحول يعكس استراتيجية جديدة: تنويع مصادر الدخل غير المشروع مع إخفاء البصمة الاستخباراتية خلف عمليات تبدو كجرائم إلكترونية تقليدية.

الشرق الأوسط في مرمى الهجمات مباشرة

رصد الباحثون هجوماً مؤكداً على مؤسسة في الشرق الأوسط — لم يُكشف عن هويتها — إلى جانب أربع هجمات على مؤسسات رعاية صحية ومنظمات غير ربحية في الولايات المتحدة منذ نوفمبر 2025. من أبرز الحوادث: هجوم فبراير 2026 على مركز جامعة ميسيسيبي الطبي (UMMC) الذي أدى إلى تعطّل كامل للأنظمة الرقمية لمدة تسعة أيام، وأُجبر الأطباء والممرضون على العمل بأدوات ورقية بدائية. المجموعة ادّعت سرقة أكثر من تيرابايت من البيانات وطالبت بفدية قدرها 800,000 دولار.

استهداف الشرق الأوسط تحديداً يشير إلى اهتمام متزايد بالبنية التحتية الحيوية في المنطقة، بما فيها القطاع المالي والصحي في دول الخليج. المؤسسات المالية السعودية الخاضعة لرقابة SAMA ليست بمعزل عن هذا التهديد.

آلية الهجوم: سلسلة التسلل والتشفير

يعتمد Medusa على آلية ابتزاز مزدوجة: يسرق البيانات الحساسة أولاً، ثم يشفّر الأنظمة ويهدد بنشر البيانات المسروقة على موقع التسريبات الخاص به إذا لم تُدفع الفدية. تبدأ سلسلة الهجوم عادةً باستغلال ثغرات في الخدمات المكشوفة على الإنترنت أو عبر بيانات اعتماد مسروقة، يليها تثبيت أدوات الوصول عن بُعد (RATs) والتحرك الجانبي داخل الشبكة باستخدام أدوات مشروعة مثل PsExec وWMI قبل تنفيذ التشفير النهائي. ما يميز هذه الحملة هو استخدام تقنيات Living-off-the-Land (LOLBins) التي تجعل اكتشاف الهجوم عبر أدوات الحماية التقليدية أمراً بالغ الصعوبة.

التأثير على المؤسسات المالية السعودية

يفرض إطار SAMA CSCC متطلبات صارمة على المؤسسات المالية فيما يخص الحماية من برامج الفدية، وتحديداً ضمن نطاقات إدارة الأصول (Asset Management)، والحماية التقنية (Technology Protection)، والاستجابة للحوادث (Incident Response). استهداف Lazarus لمؤسسات في الشرق الأوسط يعني أن البنوك وشركات التأمين وشركات التقنية المالية السعودية قد تكون في قائمة الأهداف القادمة.

كذلك تُلزم ضوابط NCA ECC 2-2024 جميع الجهات الحيوية بتطبيق ضوابط مكافحة البرمجيات الخبيثة المتقدمة (Advanced Malware Protection) وضمان قدرات الكشف والاستجابة على مستوى نقاط النهاية (EDR). كما أن نظام حماية البيانات الشخصية PDPL يفرض إخطار الجهة المختصة خلال 72 ساعة في حال تسريب البيانات — وهو سيناريو حتمي في هجمات Medusa التي تعتمد على سرقة البيانات قبل التشفير.

التوصيات والخطوات العملية

1. تفعيل حلول EDR متقدمة: نشر حلول Endpoint Detection and Response قادرة على كشف تقنيات LOLBins والتحرك الجانبي. الأدوات مثل CrowdStrike Falcon أو Microsoft Defender for Endpoint أو SentinelOne يجب أن تكون مُحدّثة بسياسات كشف محددة لمؤشرات اختراق Medusa (IoCs).
2. تعزيز حماية بيانات الاعتماد: تطبيق مصادقة متعددة العوامل (MFA) على جميع نقاط الوصول عن بُعد ولوحات الإدارة. مراجعة صلاحيات الحسابات ذات الامتيازات العالية وتطبيق مبدأ أقل الصلاحيات (Least Privilege) وفقاً لمتطلبات SAMA CSCC.
3. تطبيق استراتيجية نسخ احتياطي 3-2-1: ثلاث نسخ من البيانات، على وسيطَين مختلفَين، مع نسخة واحدة معزولة تماماً عن الشبكة (Air-Gapped). اختبار عمليات الاستعادة دورياً لضمان القدرة على التعافي دون دفع الفدية.
4. تقييد الخدمات المكشوفة: مراجعة جميع الخدمات المواجهة للإنترنت (Internet-Facing Services) وإغلاق المنافذ غير الضرورية. استخدام شبكات VPN مع مصادقة قوية للوصول عن بُعد بدلاً من بروتوكولات RDP المكشوفة.
5. تحديث خطة الاستجابة للحوادث: تضمين سيناريو هجوم Medusa/Lazarus في خطة الاستجابة للحوادث (IRP)، مع تحديد إجراءات العزل السريع وإخطار SAMA والجهات المعنية وفق المتطلبات التنظيمية.
6. المراقبة الاستباقية لمؤشرات الاختراق: دمج IoCs الخاصة بحملات Medusa — المنشورة من CISA في تنبيه AA25-071A — ضمن منصة SIEM/SOAR الخاصة بالمؤسسة لضمان الكشف المبكر.

الخلاصة

تبنّي مجموعة Lazarus لبرنامج فدية Medusa واستهدافها المباشر لمؤسسات في الشرق الأوسط يمثّل تصعيداً نوعياً في مشهد التهديدات السيبرانية الإقليمي. القطاع المالي السعودي — بما يحتويه من بيانات مالية حساسة ومعاملات ضخمة — يمثّل هدفاً عالي القيمة لهذا النوع من الهجمات. الامتثال لمتطلبات SAMA CSCC وNCA ECC ليس مجرد التزام تنظيمي، بل هو خط الدفاع الأول ضد تهديدات من هذا المستوى.

هل مؤسستك مستعدة لمواجهة هجمات الفدية المدعومة من دول؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واختبار جاهزية خطة الاستجابة للحوادث لديكم.