برنامج الفدية “جنتل مان” يهدد شبكات الشركات حول العالم
بات برنامج الفدية “جنتل مان” (Gentlemen) يشكل تهديدًا متزايدًا للشركات على مستوى العالم، حيث تم اكتشافه لأول مرة في أغسطس 2025 وبدأ في الانتشار بسرعة. يعتمد هذا البرنامج على نموذج الابتزاز المزدوج، حيث يقوم أولاً بسرقة البيانات الحساسة قبل تشفيرها، مما يمنح المهاجمين القدرة على استخدام المعلومات المسروقة كأداة ضغط إضافية حتى لو كانت الشركات تمتلك نسخًا احتياطية.
يُطور هذا البرنامج بلغة البرمجة Go، مما يتيح له العمل بكفاءة عبر منصات متعددة ويمنحه أداءً قويًا في بيئات المؤسسات المختلفة. ويستخدم المهاجمون تكتيكات متقدمة لاختراق الأنظمة، مثل التلاعب بكائنات سياسة المجموعة (GPO) وتقنية “أحضر برنامج تشغيلك الخاص القابل للاختراق” (BYOVD). تهدف هذه الأساليب إلى تعطيل الدفاعات الأمنية و تسهيل الانتشار الداخلي عبر الشبكات.
تطور وتأثير برنامج الفدية Gentlemen
أشارت تقارير إلى أن ransomware Gentlemen قد أثر بالفعل على مؤسسات في 17 دولة على الأقل، مستهدفًا قطاعات متنوعة مثل الرعاية الصحية، والتصنيع، والتأمين. يعتبر محللو ASEC أن Gentlemen أصبح أحد أكثر مجموعات برامج الفدية الناشئة نشاطًا في عام 2025، نظرًا لإجراءات انتشاره المتطورة.
يبدو أن المجموعة تستهدف بشكل خاص المؤسسات المتوسطة والكبيرة، وتستخدم تقنيات تهرب من الكشف لتجاوز المراقبة الأمنية القياسية. يعكس اتساع انتشاره عبر مناطق مثل أمريكا الشمالية والجنوبية، والشرق الأوسط، الحاجة الملحة للمراقبة المستمرة للتهديدات السيبرانية.
بروتوكولات التنفيذ والتشفير
عند بدء تشغيل برنامج الفدية، يبدأ في تنفيذ روتين صارم لتحليل وسائط سطر الأوامر، وذلك للتحكم في سلوكه بدقة. وتتمثل ميزة رئيسية في إلزامية استخدام وسيط محدد وهو “password-“؛ فبدون هذه المصادقة الصحيحة، ينهي برنامج الفدية عمله فورًا. يمنع هذا الأسلوب، البسيط والفعال، باحثي الأمن من تشغيل الحمولة في بيئات الاختبار الآلية.
يمكن للمشغلين تحديد أوضاع مختلفة، مثل “-silent” لتجنب إعادة تسمية الملفات، أو “-full” لاستهداف مشاركات الملفات المحلية والشبكية. وقبل بدء عملية التشفير، يقوم البرنامج بتعطيل برنامج Windows Defender وإنهاء خدمات النسخ الاحتياطي وقواعد البيانات، بما في ذلك Veeam و MSSQL و MongoDB. هذا يضمن عدم قفل الملفات بواسطة عمليات أخرى و يعيق جهود الاستعادة.
يستخدم برنامج الفدية X25519 لتبادل المفاتيح و XChaCha20 لتشفير الملفات، حيث يولد مفاتيح فريدة لكل ملف. ويتم فك تشفير المفتاح العام للجهة التهديدية مباشرة في الذاكرة لتوليد الأسرار المشتركة. أما بالنسبة للملفات الأكبر حجمًا، فإنه يقوم بتشفير أجزاء منها بناءً على نسب مئوية محددة، مثل 9% لوضع “-fast” أو 1% لوضع “-ultrafast”، وذلك لتحسين السرعة مع جعل البيانات غير قابلة للاسترداد.
في النهاية، يتم إنشاء ملاحظة فدية باسم README-GENTLEMEN.txt في جميع الدلائل التي تم معالجتها.