11/06/2026
سلسلة الهجوم الكاملة: من أول نقرة إلى الأنظمة المشفرة
هجمات الفدية الحديثة ليست حوادث منفصلة,إ نها حملات متعددة المراحل يمكن أن تستمر لأيام أو أسابيع وفهم كل مرحلة أمر أساسي لاكتشاف الهجوم وإيقافه قبل حدوث ضرر لا يمكن الرجوع عنه.
المرحلة 01: الوصول الأولي- البريد الإلكتروني الاحتيالي، RDP المكشوف، ثغرة يوم صفر في VPNمثل CVE-2026-50751)، أو بيانات اعتماد مخترقة تم شراؤها من أسواق الإنترنت المظلم.
المرحلة 02: نشر برنامج التحكم عن بعد- يتم إسقاط حصان طروادة للوصول عن بعد (Cobalt Strike، AsyncRAT، NjRAT) بصمت، مكونًا قناة تحكم عن بعد غالبا عبر Telegram أو حركة مرور HTTPS مشفرة.
المرحلة 03: الاستطلاع واكتشاف Active Directory- يقوم المهاجمون برسم خريطة الشبكة الداخلية باستخدام أدوات مثل BloodHound. ويتم الاستعلام عن Active Directory للعثور على حسابات المسؤولين، والخوادم، والنسخ الاحتياطية.
المرحلة 04: الحركة الجانبية وتصعيد الامتيازات- يتم استخدام تقنيات مثل Pass-the-hash، Kerberoasting، أو استغلال الخدمات غير المكونة بشكل صحيح للتنقل عبر الشبكة والحصول على حقوق المسؤول على المجال.
المرحلة 04: الحركة الجانبية ورفع الامتيازات- يتم استخدام تقنيات مثل تمرير الهِش، Kerberoasting، أو استغلال الخدمات غير المهيأة بشكل صحيح للتنقل عبر الشبكة والحصول على صلاحيات مدير المجال.
المرحلة 05: تهريب البيانات- يتم سرقة البيانات الحساسة ,سجلات المعاملات، بيانات العملاء الشخصية، سجلات SWIFT بشكل صامت، وتُستخدم للابتزاز المزدوج: إما الدفع أو ننشر كل شيء.
المرحلة 06: تفجير برمجيات الفدية- يتم تشفير مجموعات VMware vSphere، أنظمة النسخ الاحتياطي، ووحدات التحكم بالمجال في الوقت نفسه، مما يوقف العمليات. تظهر رسالة الفدية على كل شاشة.
لماذا تبدو المرحلة 6 مفاجئة؟ بحلول الوقت الذي يبدأ فيه التشفير، يكون المهاجمون عادة داخل الشبكة منذ 3–21 يوما.