Netcrook Logo
👤 SECPULSE
🗓️ 25 Feb 2026   🗂️ Cyber Warfare     🌍 Asia

من بيونغ يانغ إلى ساحة اللعب: كيف يسلّح قراصنة كوريا الشمالية برمجيات الفدية ضد الأكثر هشاشة في العالم

اعتماد مجموعة لازاروس لبرمجية الفدية «ميدوسا» يطمس الخط الفاصل بين تجسس الدولة والابتزاز السيبراني بلا رحمة، واضعًا المنظمات غير الربحية والرعاية الصحية في مرمى النيران.

في الزوايا المعتمة من الإنترنت، يعيد تحالف جديد مخيف تشكيل مشهد الجريمة السيبرانية. مجموعة لازاروس الكورية الشمالية - التي اشتهرت سابقًا بالتجسس والتخريب - انضمت الآن إلى واحدة من أكثر عمليات برمجيات الفدية إنتاجًا في العالم. سلاحهم الجديد، برمجية الفدية «ميدوسا»، لا يُطلق على البنوك أو الشركات الكبرى، بل على المؤسسات الأقل قدرة على الدفاع عن نفسها: عيادات الصحة النفسية، ومدارس الأطفال المصابين بالتوحّد، والمستشفيات. الرسالة واضحة - لا هدف صغيرًا عندما تكون المخاطر بهذا الحجم، والمهاجمون بهذه الضراوة.

حقائق سريعة

  • مجموعة لازاروس، المدعومة من الدولة الكورية الشمالية، نشرت برمجية الفدية «ميدوسا» في هجمات حول العالم، بما في ذلك الشرق الأوسط والولايات المتحدة.
  • تعمل «ميدوسا» كنموذج «برمجية فدية كخدمة»، ما يتيح لشركاء تابعين استخدام شيفرتها مقابل حصة من الأرباح.
  • من بين الضحايا الأخيرين منظمات غير ربحية أمريكية ومدارس تدعم أطفالًا مصابين بالتوحّد، مع متوسط مطالب فدية يقارب 260,000 دولار.
  • يستخدم المهاجمون عملية متعددة المراحل، تشمل تعطيل أدوات الحماية، وتثبيت أبواب خلفية، وسرقة بيانات الاعتماد، وتهريب بيانات حساسة قبل تشفير الشبكات.
  • يمثل ذلك اتجاهًا لجهات فاعلة تابعة لدول تستفيد من أدوات إجرامية، ما يجعل الإسناد والدفاع أصعب بكثير على جهات إنفاذ القانون.

قوة الدولة، تكتيكات الجريمة

تحوّل مجموعة لازاروس من التجسس الخالص إلى ابتزاز برمجيات الفدية يمثل تطورًا مقلقًا في الحرب السيبرانية. فمن خلال الشراكة مع «ميدوسا» - وهي «امتياز» لبرمجيات الفدية مسؤول عن أكثر من 300 هجوم منذ 2023 - يحصلون على بنية تحتية إجرامية راسخة ويمكنهم تمويه عملياتهم على أنها جريمة سيبرانية عادية. وهذا لا يربك المحققين فحسب، بل يتيح أيضًا لعناصر كوريا الشمالية جني أموال صعبة لتمويل نظامهم.

وبحسب باحثي التهديدات في Symantec وCarbon Black، باتت لازاروس تستخدم سلسلة هجوم متقدمة متعددة المراحل. تبدأ الاختراقات بتفكيك هادئ لأدوات الحماية المحلية، ثم نشر أبواب خلفية مخصصة مثل Blindingcan وComebacker للحفاظ على وصول دائم. بعد ذلك، تحصد أدوات مثل ChromeStealer وMimikatz كلمات المرور، بينما يقوم Infohook بتهيئة البيانات الحساسة للسرقة. ولا يطلقون «ميدوسا» إلا عندما تصبح الشبكة مخترقة بالكامل، فيشفّرون الأنظمة الحيوية ويطالبون بالدفع مقابل مفتاح فك التشفير.

تُهرَّب البيانات المسروقة بطرق خفية - RP_Proxy للتوجيه الداخلي وCurl لعمليات النقل إلى الخارج - ما يساعد المهاجمين على تفادي الرصد حتى فوات الأوان. وبحلول الوقت الذي تدرك فيه المؤسسات ما يحدث، تكون أكثر بياناتها حساسية قد أصبحت بالفعل في أيدي العدو وأنظمتها مقفلة بإحكام.

لماذا الأهداف الصغيرة؟

على خلاف الاختراقات السابقة عالية الضجيج، تركز هذه الهجمات الجديدة على مؤسسات تعاني نقص التمويل. منظمات الصحة النفسية، ومدارس دعم التوحّد، وعيادات الرعاية الصحية - التي هي أصلًا تحت ضغط شديد - تواجه الآن مطالب فدية بمتوسط 260,000 دولار. المبالغ محسوبة: مرتفعة بما يكفي لإحداث ألم، لكنها منخفضة بما يكفي لأن يفكر مديرون يائسون في الدفع بدلًا من المخاطرة بإغلاقات طويلة.

ويحذر الخبراء من أن ذلك ليس مصادفة. يقول جيسون سوروكو، الزميل الأول في الأمن السيبراني: «استهداف القطاعات الهشة يزيد النفوذ العاطفي ويرفع احتمالات الحصول على دفعة سريعة». بالنسبة إلى لازاروس، الحجم مهم: عشرات الفديات الصغيرة يمكن أن تتراكم بسرعة، وكل ذلك مع تفادي التدقيق الذي يصاحب مهاجمة الشركات الكبرى. والنتيجة؟ حتى أصغر المنظمات المجتمعية تجد نفسها على خطوط المواجهة في صراع سيبراني عالمي.

إعادة تعريف قواعد الحرب السيبرانية

ليست هذه المرة الأولى التي يتعاون فيها قراصنة دولة كوريا الشمالية مع عصابات برمجيات الفدية، لكنها الأكثر وقاحة. انتهى عصر كان فيه على الشركات الكبرى وحدها أن تقلق من قراصنة الدول. ومع تبنّي مجموعات مدعومة من دول مثل لازاروس لتكتيكات إجرامية، تتلاشى الحدود بين التخريب السياسي والجريمة المدفوعة بالربح - ويقع الأكثر هشاشة في مرمى النيران. بالنسبة إلى المنظمات غير الربحية والمدارس والعيادات، حان الوقت لإعادة التفكير في معنى «الأمن السيبراني» حقًا في زمن يمكن أن يصبح فيه أي شخص هدفًا.

WIKICROOK

  • برمجيات الفدية: برمجيات الفدية هي برامج خبيثة تُشفّر البيانات أو تقفلها، وتطالب الضحايا بالدفع لاستعادة الوصول إلى ملفاتهم أو أنظمتهم.
  • الباب الخلفي: الباب الخلفي هو طريقة خفية للوصول إلى جهاز كمبيوتر أو خادم، تتجاوز فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
  • سرقة بيانات الاعتماد: تحدث سرقة بيانات الاعتماد عندما يسرق القراصنة أسماء المستخدمين وكلمات المرور، غالبًا عبر التصيّد أو خروقات البيانات، للوصول غير القانوني إلى الحسابات عبر الإنترنت.
  • تهريب البيانات: تهريب البيانات هو النقل غير المصرح به لبيانات حساسة من شبكة الضحية إلى نظام خارجي يسيطر عليه المهاجمون.
  • الإسناد: الإسناد هو عملية تحديد الجهة التي تقف وراء هجوم سيبراني، باستخدام دلائل تقنية وتحليل لتحديد الطرف المسؤول.
North Korean Hackers Ransomware Cybersecurity
SECPULSE SECPULSE
SOC Detection Lead
← Back to news