سباق البرق في الجريمة السيبرانية: 22 ثانية نحو الكارثة

كان الأمر يستغرق ساعات - وأحيانًا أكثر - كي يمرّر مجرمو الإنترنت المفاتيح الرقمية من مهاجم إلى آخر. أما الآن، ووفقًا لتقرير M-Trends 2026 الذي أصدرته Google للتو، فقد يحدث ذلك التسليم في وقت أقل مما تحتاجه لربط حذائك. في عام 2025، انخفض الزمن الوسيط بين الاختراق وتصعيده إلى مجموعة تهديد ثانوية إلى 22 ثانية مذهلة، في إشارة إلى حقبة جديدة من الأتمتة وتعاون إجرامي غير مسبوق.

يرسم تقرير M-Trends 2026، الذي أعدّته مجموعة استخبارات التهديدات لدى Google ومانديانت بعد أكثر من 500,000 ساعة من الاستجابة للحوادث في 2025، صورة مروّعة لتطور الجريمة السيبرانية المنظمة. لقد تقلّصت العملية التي كانت طويلة لاختراق مؤسسة ثم بيع ذلك الوصول أو نقله إلى ثوانٍ معدودة، بفضل شراكات متماسكة وتزايد الأتمتة بين «وسطاء الوصول الأولي» ومجموعات الجريمة السيبرانية الثانوية.

وقال أحد محللي مانديانت: «هذا ليس مجرد تعاون - إنه تصنيع على نطاق صناعي». في الماضي، كان وسطاء الوصول الأولي يعلنون عن الأنظمة المخترقة في منتديات تحت الأرض. أما اليوم، فكثيرًا ما توصل الأتمتة البرمجيات الخبيثة مباشرةً نيابةً عن المجموعات الثانوية، متجاوزةً السوق السوداء بالكامل. ويظهر هذا التحول في البيانات: فبينما شكّلت الاستغلالات قرابة ثلث جميع الاختراقات الأولية، هبط التصيّد التقليدي عبر البريد الإلكتروني من 22% في 2022 إلى 6% فقط في 2025، ما يعكس انتقال المهاجمين إلى نقاط دخول أكثر كفاءة وتقنية.

هيمنت ثلاث ثغرات على مشهد التهديدات في 2025: SAP NetWeaver (CVE-2025-31324)، وOracle EBS (CVE-2025-61882)، وSharePoint (CVE-2025-53770)، وقد استُغلت كل منها في حملات بارزة. وبمجرد الدخول، كان المهاجمون يختبئون عادةً لمدة وسيطة تبلغ 14 يومًا قبل اكتشافهم - وهو تحسن كبير مقارنةً بمتوسط 146 يومًا قبل عقد من الزمن. ومع ذلك، تحذّر مانديانت من تزايد عدد التوغلات المتخفية التي قد تمتد حتى ستة أشهر، وغالبًا ما ترتبط بجهات تجسس سيبراني كورية شمالية ماهرة في الإفلات من الرصد.

دفعت الدوافع المالية نحو 30% من الهجمات، لكن سرقة البيانات حضرت في 40% من الحالات. وتظل قطاعات التكنولوجيا المتقدمة والتمويل وخدمات الأعمال والرعاية الصحية أهدافًا رئيسية بينما يطارد مجرمو الإنترنت المال والمعلومات القيّمة معًا. كما يشهد نظام البرمجيات الخبيثة ازدهارًا: فقد حدّدت Google 714 عائلة جديدة من البرمجيات الخبيثة في 2025، مع تهديدات بارزة مثل GoldVein (المفضلة لدى عصابة Cl0p) وبرمجية الفدية Akira التي تصدّرت القوائم.

والبيئات السحابية ليست بمنأى عن الخطر. فقد شكّل التصيّد الصوتي، المدعوم من مجموعات مثل ShinyHunters وScattered Spider، ما يقارب ربع التوغلات المرتبطة بالسحابة - متفوقًا حتى على الاستغلالات. يتغير سطح الهجوم، لكن الإلحاح واضح: لدى المدافعين الآن ثوانٍ لا ساعات للتفاعل عندما تطرق الذئاب الرقمية الأبواب.

ومع إتقان عصابات الجريمة السيبرانية لسباقات التتابع، يتعين على المؤسسات إعادة التفكير في دفاعاتها. لقد انتهى عصر الاستجابة للحوادث على مهل. عندما لا يستغرق انتقال الوصول سوى 22 ثانية، تصبح كل ثانية مهمة - والرهانات، كما يبيّن M-Trends 2026، لم تكن يومًا أعلى من الآن.

WIKICROOK

• وسيط الوصول الأولي: وسيط الوصول الأولي هو مجرم سيبراني يقتحم الأنظمة ويبيع الوصول لمهاجمين آخرين، ما يتيح جرائم سيبرانية لاحقة مثل برمجيات الفدية أو سرقة البيانات.
• استغلال: الاستغلال هو تقنية أو برنامج يستفيد من ثغرة في نظام ما للحصول على وصول غير مصرح به أو تحكم أو معلومات.
• مدة البقاء: مدة البقاء هي الفترة التي يظل فيها المهاجم غير مكتشف داخل شبكة، بما ينطوي عليه ذلك من مخاطر سرقة البيانات واختراق الأنظمة. تقليلها أمر حاسم للأمن.
• التصيّد الصوتي (Vishing): التصيّد الصوتي (فيشينغ) هو عملية احتيال يستخدم فيها المحتالون مكالمات هاتفية لانتحال جهات موثوقة وسرقة معلومات حساسة أو أموال.
• عائلة برمجيات خبيثة: عائلة البرمجيات الخبيثة هي مجموعة من البرامج الضارة ذات الصلة المبنية على قاعدة الشيفرة نفسها، وتتشارك سلوكيات وأساليب هجوم وأهدافًا متشابهة.