أظهر تقرير عالمي حديث أعدّته خدمات كاسبرسكي الأمنية «Kaspersky Security Services» أن تخمين كلمات المرور واستغلال الحسابات الشرعية شكّلا خلال عام 2025 واحدًا من أنجح الأساليب التي اعتمد عليها المجرمون السيبرانيون في تنفيذ هجماتهم.
في مؤشر واضح على تحول لافت في سلوك المهاجمين، الذين باتوا يميلون إلى تجنب الهجمات المعتمدة على البرمجيات الخبيثة، والتي عادة ما تطلق إنذارات أمنية واضحة على الأجهزة الطرفية، مفضلين الاعتماد على الوصول المشروع كوسيلة أكثر فعالية للتخفي وتجاوز آليات الكشف الأمني.
ويُعد تقرير «تشريح العالم السيبراني» «Anatomy of a Cyber World» تقريرًا عالميًا متعمقًا يستند إلى البيانات التي جمعتها كاسبرسكي من خدمات الاكتشاف والاستجابة المُدارة «MDR»، والاستجابة للحوادث «IR». وتقييم الاختراقات، واستشارات مركز العمليات الأمنية «SOC» خلال عام 2025.
حيث يتناول التقرير أكثر الأساليب والأدوات وحالات الرصد شيوعًا لدى الجهات المهاجمة، إلى جانب إبراز السمات الفريدة للحوادث المكتشفة.
وبحسب ما ورد في التقرير، فإن جزءًا كبيرًا من أساليب الهجوم التي يتم رصدها بصورة متكررة يتمحور حول استغلال بيانات الاعتماد وأنظمة إدارة الهوية، إذ يستعرض التحليل معدلات التحويل الخاصة بمختلف مؤشرات الهجوم «IoA»، بما يكشف عن أكثر الأساليب انتشارًا لدى المجرمين السيبرانيين.
وأوضح التقرير أن تخمين كلمات المرور جاء في صدارة الأساليب المرصودة بمعدل تحويل بلغ 34.8%، حيث يقوم المهاجمون في هذه الآلية بتجربة عدد كبير من كلمات المرور المحتملة بصورة منظمة حتى ينجحوا في اختراق أحد الحسابات.
وتتصدر هذه الطريقة قائمة التحويل نظرًا لانتشارها في الهجمات الحقيقية وكذلك في التقييمات الأمنية المعتمدة، ما يجعلها تهديدًا مستمرًا في مشهد الأمن السيبراني الحالي. وأشار التقرير إلى أن استخدام كلمات مرور ضعيفة أو مكررة داخل المؤسسات ما يزال عاملًا رئيسيًا في إنجاح هذه الآلية التقليدية.
وجاء إنشاء الحسابات المحلية في المرتبة التالية بمعدل تحويل بلغ 34.7%، حيث يعمد المهاجمون، بعد اختراق النظام، إلى إنشاء حسابات محلية جديدة بهدف الحفاظ على وصول دائم إلى الأنظمة.
حتى في حال اكتشاف نقطة الدخول الأولية وتعطيلها. ورغم إمكانية رصد هذه التقنية خلال التقييمات الأمنية، فإن اكتشافها الفعلي يعتمد على توفر بيانات القياس عن بُعد المناسبة، والتي غالبًا لا تكون متاحة.
كما أظهر التقرير أن إساءة استخدام الحسابات الموثوقة جاءت ضمن أكثر الأساليب خطورة بمعدل تحويل بلغ 34.5%، إذ يعتمد المهاجمون في هذه الآلية على استخدام بيانات دخول مسروقة أو تم اختراقها سابقًا، ويتصرفون داخل النظام كما لو كانوا مستخدمين عاديين.
وتؤدي هذه الطريقة إلى تعقيد عمليات الرصد بشكل كبير، لأن النشاط يبدو مشروعًا من الناحية الظاهرية، فيما يؤكد معدل التحويل المرتفع أن اختراق بيانات الاعتماد لا يزال أحد أخطر أساليب الهجوم السيبراني.
وأشار التقرير كذلك إلى أن التلاعب بالحسابات سجل معدل تحويل بلغ 32%، حيث يعمد المهاجمون إلى إجراء تعديلات على الحسابات الموجودة بهدف توسيع صلاحياتهم داخل النظام، مثل إعادة تفعيل الحسابات غير النشطة، أو تعديل عضويات المجموعات، أو رفع مستويات الصلاحيات.
ويعكس هذا السلوك نمطًا متقدمًا لدى المهاجمين يقوم على تعزيز السيطرة باستخدام الموارد المتاحة داخل النظام، بدلًا من الاعتماد على أدوات خارجية جديدة قد تسهل عملية اكتشافهم.
وفي السياق ذاته، لفت التقرير إلى أن اكتشاف خدمات الشبكة سجل معدل تحويل بلغ 31.2%، حيث يلجأ المهاجمون قبل الانتقال إلى مراحل أعمق داخل الشبكة إلى استكشاف المنافذ والخدمات المفتوحة القابلة للوصول.
وتمثل هذه المرحلة الاستطلاعية إشارة واضحة على احتمالية حدوث تحركات جانبية داخل الشبكة والتوسع في عمليات الاستغلال لاحقًا، ما يجعل رصد هذا السلوك في وقت مبكر عنصرًا حاسمًا يمكّن فرق الأمن السيبراني من التدخل في الوقت المناسب والحد من اتساع نطاق التهديد.
ويصنف التقرير أساليب المهاجمين وفقًا لمدى تكرار الأنشطة التي تم رصدها، والتي أدت في النهاية إلى حوادث خبيثة مؤكدة. ويشير خبراء كاسبرسكي إلى أنه رغم شمولية إطار «MITRE ATT&CK®» لعدد كبير من أساليب الهجوم.
فإن فعالية الكشف ترتبط بتركيز الجهود على السلوكيات ذات الاحتمالية الأعلى لارتباطها بنشاط ضار، مع الحد من الإنذارات الكاذبة التي قد تربك فرق الأمن وتستهلك مواردها.
