تفكيك LockBit، سرقة BlackCat للأموال، وملء RansomHub للفراغ — كيف أعادت Ransomware هيكلة نفسها في 2024

شلّت عملية Cronos بنية تحتية LockBit في فبراير 2024، وانهار ALPHV/BlackCat في عملية نصب بـ 22 مليون دولار بعد أسابيع، ثم امتصّ RansomHub الشركاء المشرّدين ليصبح أكثر مجموعات Ransomware نشاطاً في 2024. لم تُقلّص انتصارات أجهزة إنفاذ القانون التهديدَ — بل أعادت هيكلته في شكل أكثر تقلباً وأصعب تتبعاً، مُمهِّدةً الطريق لمنظومة مفككة تستعين بالذكاء الاصطناعي وتواصل تصاعدها حتى منتصف 2026.

عملية Cronos: تشريح تعطيل كبير

في 19 فبراير 2024، نفّذ تحالف من عشر دول بقيادة الوكالة الوطنية للجريمة (NCA) البريطانية ومكتب التحقيقات الفيدرالي (FBI) عملية Cronos ضد LockBit، المجموعة المهيمنة على Ransomware منذ 2022 على أقل تقدير. صادرت السلطات 34 خادماً عبر ولايات قضائية متعددة، وأغلقت موقع تسريب LockBit على الويب المظلم، وأوقفت 14,000 حساب مارق، وجمّدت 200 محفظة عملات مشفرة، وحصلت على أكثر من 1,000 مفتاح فك تشفير. واعتُقل شخصان في بولندا وأوكرانيا، ووُجِّهت اتهامات في الولايات المتحدة للمواطنَين الروسيَّين أرتور سونغاتوف وإيفان كوندراتييف (الملقّب بـ «Bassterlord»).

لم يقل البُعد النفسي للعملية أهميةً عن البُعد التقني. أعادت السلطات توظيف موقع التسريب الخاص بـ LockBit للكشف عن آلياتها الداخلية ونشر هويات الشركاء وإرسال رسائل شخصية للأعضاء عند تسجيل دخولهم في لوحات التحكم. وجرى الكشف عن هوية الزعيم المزعوم دميتري يوريفيتش خوروشيف (الملقّب بـ «LockBitSupp»)، وخُصِّصت مكافأة بقيمة 10 ملايين دولار من وزارة الخارجية الأمريكية لمن يدلي بمعلومات تؤدي إلى اعتقاله. كما حُظر لاحقاً من منتديات الجرائم الإلكترونية الكبرى، مما أفضى إلى قطع قنوات تجنيده واتصالاته.

كان التعطيل حقيقياً لكنه لم يكن دائماً. في غضون أيام، ادّعى LockBitSupp استعادة الأنظمة. وبحلول منتصف 2025، أعادت المجموعة تسمية نفسها بـ LockBit 4.0، مستبدلةً التشفير الهجين AES-256 + RSA-2048 بـ ChaCha20-Poly1305، ومعتمدةً نموذج استضافة موزعاً، ومُصلِحةً برنامج الشركاء. وأكدت Check Point Research وجود حملات ابتزاز نشطة من LockBit 4.0 في سبتمبر 2025 تستهدف منظمات في بيئات Windows وLinux وESXi في أوروبا والأمريكتين وآسيا.

عملية النصب لـ BlackCat: خيانة بـ 22 مليون دولار

بينما كانت جهات إنفاذ القانون تحتفل بتعطيل LockBit، دبّرت ALPHV/BlackCat واحدة من أوقح الخيانات في تاريخ Ransomware. في فبراير 2024، اخترق أحد شركاء BlackCat شبكة Change Healthcare — الشركة التابعة لـ UnitedHealth Group التي تعالج 15 مليار معاملة رعاية صحية سنوياً وتمسّ سجلات مريض من كل ثلاثة مرضى أمريكيين. كان ناقل الوصول الأولي بوابة وصول عن بُعد Citrix خالية من المصادقة متعددة العوامل.

رصدت Change Healthcare الاختراق في 21 فبراير 2024 وأوقفت أنظمتها. وأكد الرئيس التنفيذي لـ UnitedHealth Group أندرو ويتي لاحقاً أن الشركة دفعت فدية 22 مليون دولار بـ Bitcoin لـ BlackCat في محاولة لمنع نشر بيانات المرضى. لم تُجدِ المحاولة نفعاً. إذ اتهم شريك ساخط علناً مشغّلي BlackCat باختلاس المبلغ كاملاً دون توزيع العمولة المتفق عليها — مع الاحتفاظ بـ 4 تيرابايت من البيانات المسروقة. وحين نشرت BlackCat إشعار مصادرة مزيّفاً بدعوى تدخل أجهزة إنفاذ القانون على موقع تسريبها في مارس 2024، سارع باحثون من بينهم فابيان وزار، رئيس أبحاث Ransomware في Emsisoft، إلى كشف زيفه. وأنكرت كل من وزارة العدل الأمريكية وYeuropol وNCA أي تورط. كانت BlackCat قد نصبت على شركائها وأغلقت أبوابها.

كانت الأضرار الجانبية هائلة. عطّل الهجوم تقديم المطالبات والتحقق من الأهلية ومعالجة المدفوعات وتعاملات الصيدليات على الصعيد الوطني. ووصفته جمعية المستشفيات الأمريكية بأنه «الحادثة الأكثر خطورة وتداعيات من نوعها ضد نظام الرعاية الصحية الأمريكي في التاريخ». أعلنت UnitedHealth Group عن خسائر تتجاوز 870 مليون دولار في الربع الأول من 2024 وحده، مع تقدير إجمالي تكاليف الاستجابة بما بين 2.3 و2.45 مليار دولار. وتعرّضت بيانات نحو 190 مليون شخص — أكثر من نصف سكان الولايات المتحدة — للاختراق. وأضاف RansomHub الإهانة إلى الجرح بادّعائه امتلاك بيانات Change Healthcare المسروقة أيضاً وطلب فدية ثانية من UnitedHealth Group.

RansomHub: مَن ملأ الفراغ

أُطلق RansomHub في فبراير 2024 — الشهر ذاته الذي شهد هجوم Change Healthcare — ولم يكن التزامن محض صدفة. تقيّم باحثون في شركات متعددة أنه إعادة تسمية محتملة أو مشتق من Ransomware نوع Knight (Cyclops)، أو أن مشغّليه اقتنوا الكود المصدري لـ Knight. صُمّم نموذج عمله صراحةً لاستقطاب الشركاء المتضرّرين من تعطيل LockBit وBlackCat: يتولى الشركاء إدارة مدفوعات الفدية مباشرةً ويُحوِّلون عمولة 10% فقط للمجموعة الأساسية، مقارنةً بـ 20-30% المعتادة في المنصات المنافسة.

أرقام النمو صارخة. ادّعى RansomHub 531 ضحية جديدة في 2024، مما يمثل 9.8% من إجمالي حالات Ransomware المرصودة عالمياً، ليكون المجموعة الأكثر هيمنة خلال العام. قفز حجم هجماته بنسبة 66% في النصف الثاني من 2024. وفي سبتمبر 2024 وحده، أدرج RansomHub 66 ضحية في شهر واحد واستأثر بـ 16% من إجمالي هجمات Ransomware في الربع الثالث. شملت الأهداف أنظمة المياه والصرف الصحي والمرافق الحكومية والرعاية الصحية والتصنيع الحيوي والخدمات المالية والنقل والبنية التحتية للاتصالات. ومن الضحايا البارزين: Frontier Communications، ودار المزادات البريطانية Christie's، وشركة Halliburton.

لم تدُم هيمنة RansomHub طويلاً. في 31 مارس 2025، اختفى موقعه على شبكة Tor وتوقّف بوابة العملاء عن العمل في اليوم التالي. وأكدت Rapid7 التوقف الكامل للعمليات مطلع أبريل 2025، فيما انتقل الشركاء إلى DragonForce وLockBit. وادّعى DragonForce لاحقاً استحواذه على بنية RansomHub التحتية.

مرحلة التشرذم والتوحّد الجديد

أفرز الانهيار المتتالي لـ LockBit وBlackCat وRansomHub سوق شركاء مضطرباً. ارتفع عدد مجموعات Ransomware المُعلَن عنها علناً من 79 في أبريل 2023 إلى 96 بحلول أبريل 2025، مع ظهور 52 مجموعة جديدة في عام واحد. وبحلول 2025، رُصد رقم قياسي بلغ 124 مجموعة مميّزة تحمل أسماء معروفة. المجموعات الأصغر أصعب تعطيلاً: تعيد تسمية نفسها بسرعة وتُعقّد عملية الإسناد ولا تُحدث أي ضربة منفردة أثراً بالغاً.

تحرّكت مجموعتان بحزم لملء فراغ القوة. Qilin (المُتتبَّعة أيضاً بـ Agenda)، النشطة منذ 2022 بمنصات متقاطعة في Golang وRust تستهدف Windows وLinux وVMware ESXi، سجّلت ارتفاعاً بنسبة 408% في الهجمات خلال 2025 وأصبحت المجموعة الرائدة في مجال Ransomware بحلول يونيو 2025. يحصل الشركاء على 80-85% من عائدات الفدية. ومن أبرز الشركاء FIN12 وScattered Spider (Octo Tempest). وعقب إغلاق RansomHub في أبريل 2025، انتقلت أعداد كبيرة من شركائه إلى Qilin. وأطلقت المجموعة حتى خدمة «صحفي» داخلية لمنشورات مدونة موقع التسريب — يُرجَّح على نطاق واسع أنها مُولَّدة بـ LLM — إضافةً إلى وظيفة دعم الشركاء «Call Lawyer».

أما DragonForce، النشط منذ أغسطس 2023 والمرتبط بـ LockBit Green من خلال الكود المصدري المُسرَّب لـ Conti v3، فقد أعاد تسمية نفسه في مارس 2025 بوصفه «كارتلاً». يتيح نموذجه للشركاء العمل تحت أسمائهم التجارية الخاصة مع الاستفادة من بنية DragonForce التحتية وأدواته ودعمه. تُقدِّم المجموعة 80% من العائدات للشركاء وأدرجت أكثر من 200 ضحية في قطاعات التجزئة والطيران والتأمين ومزودي الخدمات المُدارة. وتتشارك مع Scattered Spider وتستهدف بنشاط بنى المجموعات المنافسة لتعزيز هيمنتها.

بحلول الربع الأول من 2026، رصدت Check Point Research اتجاهاً نحو التوحّد يعكس التشرذم: بدأت المجموعات العشر الكبرى تستحوذ على حصة أكبر من الضحايا المرصودين، مع استيعاب Qilin وAkira وLockBit 4.0/5.0 للشركاء المشرّدين على نطاق واسع. ويُتوقَّع أن تتجاوز إجمالي حوادث Ransomware عالمياً 12,000 حادثة في 2026 بالمعدلات الراهنة.

دروس للمدافعين

• فرض MFA على كل بوابة وصول عن بُعد، دون استثناء. بدأ اختراق Change Healthcare من نقطة نهاية Citrix خالية من MFA. كلّف هذا الخلل في ضبط واحد UnitedHealth Group أكثر من 2 مليار دولار وأضرّ بسجلات 190 مليون مريض.
• لا تفترض أن إغلاق مجموعة يُزيل تهديدها. أعاد LockBit بناء نفسه مرتين بعد تعطيلات كبرى. انتقل شركاء BlackCat وRansomHub إلى منصات جديدة في غضون أسابيع. تحتاج اشتراكات معلومات التهديدات إلى تتبع هجرة الشركاء لا المجموعات المُسمّاة وحدها.
• تقسيم النسخ الاحتياطية واختبار سلامتها باستمرار. يستهدف كل من RansomHub وQilin مضيفي ESXi تحديداً لتدمير النسخ الاحتياطية المُقنَّعة. تبقى إجراءات الاسترداد المعزولة والمُختبَرة الحل الأكثر فاعلية للحد من Ransomware.
• الانتباه لنموذج الكارتل. يعني نظام تمييز العلامات التجارية لشركاء DragonForce أن الهجمات المنسوبة لأسماء غير معروفة قد تشترك في بنية تحتية وأدوات وأساليب مع مشغّلين موثّقي السجل. تعامل مع أسماء Ransomware غير المألوفة باعتبارها محتملة الانتماء لكارتل حتى يثبت العكس.
• مخاطر تركّز الأطراف الثالثة باتت قضية على مستوى مجلس الإدارة. حوّل دور Change Healthcare في معالجة ثُلث سجلات المرضى الأمريكيين عدوى Ransomware واحدة إلى أزمة رعاية صحية وطنية. لم تعد رسم خرائط سلسلة التوريد واشتراطات مرونة الموردين اختيارية لقطاعات البنية التحتية الحيوية.