تحالف SLH 2026: اندماج DragonForce وScattered Spider يهدد بنوك SAMA

شهدت بداية عام 2026 تحوّلاً نوعياً في مشهد جرائم الفدية مع إعلان تحالف Scattered LAPSES Hunters المعروف اختصاراً بـ SLH، الذي يجمع تحت مظلة واحدة عصابات DragonForce وScattered Spider وLAPSUS$ وShinyHunters. هذا الاندماج لا يُعدّ مجرد تعاون عابر، بل نموذج ابتزاز صناعي متكامل يستهدف القطاع المالي بشكل مباشر، ويضع بنوك المملكة الخاضعة لرقابة البنك المركزي السعودي SAMA أمام تهديد متعدد الطبقات يستوجب مراجعة عاجلة لضوابط الإطار CSCC.

ما هو تحالف SLH ولماذا هو مختلف؟

تحالف SLH ليس امتداداً تقليدياً لنموذج Ransomware-as-a-Service، بل بنية تشغيلية موحّدة تعتمد على تقسيم واضح للأدوار. تتولى مجموعة Scattered Spider مرحلة الوصول الأولي عبر الهندسة الاجتماعية المتقدمة وانتحال هوية موظفي مكاتب الدعم الفني، فيما تستثمر LAPSUS$ خبرتها في استهداف موردي الهوية وحلول إدارة الوصول، بينما تتولى ShinyHunters عمليات تسريب البيانات عبر منصات مخصصة، وأخيراً تنفذ DragonForce نشر الفدية باستخدام نسخة معدّلة من باني LockBit المسرّب وفرع آخر مبني على شيفرة Conti V3 مع برمجية SystemBC الخبيثة.

الخطورة الإضافية تكمن في أن التحالف يدير بنية تحتية خلفية مركزية تشمل خوادم التفاوض ومواقع تسريب البيانات وأدوات الاستطلاع، مما يقلل تكلفة الهجوم ويرفع كفاءته التشغيلية. تقارير ميدانية تتحدث عن مدة بقاء المهاجم Dwell Time لا تتجاوز 36 ساعة من الاختراق إلى تشفير الأنظمة الإنتاجية.

تكتيكات الوصول الأولي التي يستخدمها SLH

يبدأ المهاجمون باستطلاع مكثف عبر LinkedIn والمصادر المفتوحة لبناء ملفات تعريف لموظفي قطاعَي تقنية المعلومات والامتثال، ثم تُنفَّذ مكالمات Vishing احترافية باللهجات المحلية لخداع مكتب المساعدة وإعادة تعيين كلمات المرور أو تسجيل أجهزة MFA جديدة. التكتيكات الموثقة تشمل MFA Fatigue، وSIM Swapping عبر التواطؤ مع موظفي شركات الاتصالات، واستغلال أنظمة Microsoft Teams لتمرير حمولات خبيثة خلف ستار تذاكر دعم شرعية.

بمجرد الحصول على بيانات اعتماد صالحة، ينتقل المهاجمون إلى التحكم في Azure AD وOkta وCyberArk، ثم يستخدمون أدوات مشروعة كـ AnyDesk وScreenConnect وImpacket للحركة الجانبية، مما يجعل الكشف عبر أدوات EDR التقليدية أمراً صعباً جداً.

التأثير على المؤسسات المالية السعودية

القطاع المالي يقع في قلب أهداف SLH لأسباب جلية: قيمة البيانات المسرّبة، احتمال دفع الفدية لتجنب الانقطاع التشغيلي، والترابط الوثيق مع شبكات SWIFT والمدفوعات الفورية. إطار SAMA CSCC ضمن مجال 3.3 الخاص بأمن الهوية والوصول يُلزم البنوك بتطبيق المصادقة متعددة العوامل المقاومة للتصيد، إلا أن تكتيكات SLH تتجاوز MFA المبني على الرسائل النصية أو التطبيقات التقليدية. كذلك يفرض الضابط 3.3.5 إجراءات صارمة لإعادة تعيين بيانات الاعتماد، وهو ما يستهدفه المهاجمون مباشرة.

على صعيد إطار NCA ECC، يتقاطع التهديد مع الضوابط الفرعية 2-2-3 الخاصة بإدارة الهويات و2-3-3 المتعلقة بأمن الشبكة، فيما يضع نظام حماية البيانات الشخصية PDPL البنوك أمام مسؤولية إخطار هيئة البيانات السعودية SDAIA خلال 72 ساعة في حال تأكد تسرّب بيانات العملاء. مؤسسة مالية واحدة في المنطقة تعرّضت لاختراق مماثل قد تواجه عقوبات مالية، توقفاً تشغيلياً، وأضراراً سمعية يصعب تعويضها.

التوصيات والخطوات العملية لبنوك SAMA

1. تطبيق المصادقة متعددة العوامل المقاومة للتصيد عبر مفاتيح FIDO2 أو شهادات العميل بدلاً من OTP والتطبيقات القياسية، وفقاً لتوصيات SAMA CSCC 3.3.4.
2. تعزيز إجراءات مكتب المساعدة بفرض التحقق المرئي عبر الفيديو وأسئلة معرفة سياقية قبل أي إعادة تعيين للاعتماد، مع تسجيل المكالمات وأرشفتها لمدة 12 شهراً على الأقل.
3. تقسيم البنية التحتية للهوية بحيث لا يستطيع حساب إداري واحد التحكم في كل من Azure AD ومنصات IAM المحلية، وتفعيل الوصول الجاست-إن-تايم Just-in-Time عبر PAM.
4. مراقبة استخدام أدوات الإدارة عن بُعد المشروعة AnyDesk وScreenConnect وRMM عبر قواعد UEBA متخصصة، واعتبار أي استخدام غير مدرج ضمن قائمة الأدوات المعتمدة حدثاً عالي الخطورة.
5. إجراء تمارين Red Team تحاكي تكتيكات SLH تحديداً، تشمل Vishing وSIM Swap وتسجيل أجهزة MFA احتيالية، مع توثيق النتائج ضمن تقارير SAMA الدورية.
6. تفعيل خطة استجابة للحوادث تتضمن سيناريو ابتزاز مزدوج Triple Extortion (تشفير + تسريب + DDoS) وتدريب فرق الاستجابة على التواصل مع SAMA وSAUDI CERT خلال أول ساعتين من الكشف.
7. تدقيق العقود مع موردي الجهات الخارجية للتأكد من التزامهم بضوابط SAMA CSCC الخاصة بسلسلة الإمداد، خصوصاً موردي IAM وحلول الدعم الفني المُدارة.

الخلاصة

تحالف SLH يمثل النقلة من جرائم الفدية الانتهازية إلى نموذج ابتزاز صناعي مُمَنهج. الاعتماد على ضوابط أمنية تقليدية لم يعد كافياً، والمطلوب اليوم مقاربة دفاعية قائمة على افتراض الاختراق Assume Breach مع تركيز خاص على هوية المستخدم والمسارات الإدارية. المؤسسات المالية السعودية التي تستثمر في تحديث ضوابط الهوية والاستجابة تستبق المخاطر، أما المتأخرون فقد يجدون أنفسهم في دائرة الاستهداف القادمة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.