تخطى إلى المحتوى الرئيسي

كيان حكومي أمريكي يدفع مليون دولار بابتزاز بيانات كايوس

فريق جلتش
منذ ساعتين0 مشاهدة5 دقائق
كيان حكومي أمريكي يدفع مليون دولار بابتزاز بيانات كايوس

دفعت جهة حكومية أمريكية مليون دولار لمجموعة "كايوس" لمنع تسريب بياناتها المسروقة، في قضية تبرز تحولاً خطيراً نحو الابتزاز بتهديد النشر بدلاً من التشفير. هذا الحادث يسلط الضوء على ضعف الأمن الأساسي وضرورة مراجعة استراتيجيات حماية البيانات للكيانات.

مقدمة تحليلية

في تطور مثير للقلق يكشف عن التغيرات في مشهد الجرائم السيبرانية، دفعت جهة حكومية أمريكية ما يقارب مليون دولار أمريكي لعصابة تدعى "كايوس" (Kairos) لمنع تسريب ملفات حساسة سُرقت من شبكتها. هذا الحادث، الذي كشفته دراسة حالة أعدها راكيش كريشنان لمؤسسة Ransom-ISAC، يستند إلى محادثة تفاوض مسربة وتتبع لسجل المعاملات على البلوكتشين الخاص بالدفع. اللافت في القضية أن "كايوس" لم تستخدم أي برمجيات تشفير (ransomware) لغلق الأنظمة، بل اعتمدت كلياً على تهديد نشر البيانات المسروقة كأداة ضغط وحيدة.

تُسلط هذه الواقعة الضوء على تحول استراتيجي لدى بعض المجموعات الإجرامية، حيث أصبحت سرقة البيانات وتهديد تسريبها كافية لتحقيق مكاسب مالية ضخمة دون الحاجة إلى تعقيدات عملية التشفير وفكها. يُعتقد أن الجهة المتضررة هي مقاطعة يونيون في ولاية أوهايو، التي تعرضت لحادث سيبراني في مايو 2025، وأدى إلى سرقة بيانات 45,487 من سكانها وموظفيها، شملت معلومات الضمان الاجتماعي والتفاصيل المالية وبصمات الأصابع وأرقام جوازات السفر. يشير هذا المبلغ الكبير المدفوع، والذي لم يتم الكشف عنه علناً من قبل المقاطعة، إلى حجم الضغط الذي يمكن أن يمارسه هذا النوع من الابتزاز.

التحليل التقني

يمثل هجوم "كايوس" نموذجاً واضحاً لما أصبح يعرف بابتزاز البيانات النقي (pure data extortion)، حيث يتم التركيز على سرقة المعلومات الحساسة وتهديد بنشرها بدلاً من تشفيرها وطلب فدية لفك التشفير. هذه الطريقة تقلل من التعقيد التقني اللازم للهجوم، حيث لا تتطلب تطوير أو صيانة برمجيات تشفير معقدة. وبحسب التحقيق، فإن الاختراق الأولي الذي مكن "كايوس" من الوصول إلى الشبكة الحكومية جاء ببساطة عبر تخمين كلمة مرور، وهو ما يؤكد ضعف إجراءات الأمن الأساسية في كثير من الكيانات.

  • طريقة الاختراق الأولية: تخمين كلمة مرور بسيطة.
  • الآلية: سرقة بيانات ضخمة (أكثر من 2 تيرابايت، 1.6 مليون ملف) وتهديد بنشرها علناً.
  • غياب التشفير: لم يتم استخدام أي برامج تشفير، ولم يطلب المهاجمون مفتاح فك تشفير.
  • عملية التفاوض: استمرت نحو شهر، بدأت "كايوس" بطلب 3 ملايين دولار وتراجعت إلى مليون دولار كعرض نهائي.
  • الدفعة: حوالي 9.44 بيتكوين، بقيمة مليون دولار وقت الدفع (13 يونيو 2025).
  • تتبع الأموال: تم تقسيم المبلغ وتحويله عبر سلسلة من المحافظ الرقمية إلى عناوين إيداع مرتبطة بمنصات تداول العملات المشفرة مثل Bybit و OKX وخدمة BELQI الروسية.
  • أدلة الاختراق: تضمنت الملفات المسروقة أسماء مثل Union.xlsx و union co psi template.doc، وتشير إلى بيانات حساسة من مكتب المدعي العام.
  • طرق نقل البيانات: استخدام روابط مشاركة ملفات مؤقتة مثل temp.sh.
  • "إثبات الحذف": قدم المهاجمون ملفاً يدعون أنه إثبات للحذف، لكنه لم يكن أكثر من قائمة بأسماء الملفات المسروقة، لا يضمن مسحها فعلياً.

تؤكد تقارير Sophos لعام 2025 أن حوالي نصف هجمات برامج الفدية لم تعد تتضمن أي تشفير، وهو أدنى معدل في ست سنوات، مما يشير إلى أن هذا التكتيك آخذ في التوسع. مجموعات مثل Silent Ransom Group، وهي فرع من عصابة Conti، كانت تمارس الابتزاز ببيانات مسروقة فقط ضد شركات المحاماة والتمويل الأمريكية لسنوات دون استخدام أي أداة تشفير.

السياق وتأثير السوق

لا يُعد حادث مقاطعة يونيون معزولاً، بل هو مؤشر على اتجاه متزايد في عالم الجرائم السيبرانية. تاريخياً، كانت برامج الفدية (Ransomware) تعتمد على تشفير الملفات، مما يمنع الضحية من الوصول إليها، ثم طلب فدية لفك التشفير. ومع ذلك، أدركت المجموعات الإجرامية أن تهديد نشر البيانات الحساسة يمكن أن يكون أكثر فعالية في الضغط على الضحايا، خاصة الكيانات الحكومية والشركات التي تخشى التداعيات القانونية والمالية وتضرر السمعة.

تُظهر التسريبات السابقة لمحادثات التفاوض، مثل تلك الخاصة بعصابات Black Basta في فبراير 2025 وعصابة Conti في عام 2022، أن هذا النمط من المفاوضات شائع. في حالة Black Basta، تطور التفاوض من طلب 1.5 مليون دولار إلى دفع مليون دولار في النهاية، وهو مسار مشابه جداً لحالة "كايوس". هذه التسريبات أصبحت مصدراً لا يقدر بثمن للباحثين لإعادة بناء تكتيكات المهاجمين وفهم كيفية إدارة هذه الصفقات السرية.

تكمن التداعيات السوقية في أن هذا التحول يجعل الضحايا في موقف أكثر ضعفاً. فبينما يمكن لبرامج الفدية التقليدية أن تدفع الشركات لإنفاق الملايين على استعادة البيانات والأنظمة، فإن الابتزاز القائم على التسريب يضعها أمام خيار صعب بين دفع الفدية بصمت أو مواجهة فضيحة عامة قد تكلفها أكثر بكثير على المدى الطويل من حيث الثقة والامتثال. يدفع هذا الاتجاه أيضاً نحو زيادة الاستثمار في حلول منع فقدان البيانات (DLP) وأنظمة الكشف عن الاختراقات التي تركز على حركة البيانات الصادرة (outbound data transfer).

رؤية Glitch4Techs

يمثل تحول مجموعات الابتزاز السيبراني نحو التركيز الكلي على سرقة البيانات وتهديد تسريبها بدلاً من التشفير نقطة تحول حاسمة تتطلب إعادة تقييم شاملة لاستراتيجيات الأمن السيبراني، خصوصاً في منطقة الشرق الأوسط وشمال إفريقيا. بالنسبة للجهات الحكومية والشركات الإقليمية، التي غالباً ما تتعامل مع كميات هائلة من البيانات الشخصية والحكومية الحساسة، فإن هذا التكتيك الجديد يفرض تحديات أمنية فريدة تتجاوز آليات الاستجابة التقليدية لهجمات الفدية.

في المنطقة، ومع تزايد الوعي والتشديد على قوانين حماية البيانات مثل نظام حماية البيانات الشخصية السعودي (PDPL) وقوانين حماية البيانات الموحدة في الإمارات، يصبح خطر تسريب البيانات لا يقل فداحة عن تشفيرها من حيث التداعيات القانونية والمالية والسمعة. العديد من الكيانات الإقليمية، خاصة تلك التي تعاني من قيود في الميزانية والموارد، قد تجد نفسها في موقف مشابه لمقاطعة يونيون، حيث يمثل الكشف عن الدفع وصمة عار، وعدم الكشف عنه انتهاكاً محتملاً للشفافية ومتطلبات الإبلاغ عن الحوادث. لذلك، يجب على المؤسسات في المنطقة الاستثمار بشكل أكبر في أدوات متقدمة لاكتشاف ومنع فقدان البيانات (DLP)، وفي بناء خطط استجابة للحوادث تتجاوز مجرد استعادة البيانات لتشمل إدارة السمعة، والتعامل مع الضغوط الإعلامية، والامتثال القانوني الصارم، لا سيما مع وجود بيانات حساسة كالسجلات المدنية، والمالية، وسجلات الصحة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.