يشكّل تهديد برامج الفدية الجديد، المعروف باسم “The Gentlemen”، تطوراً ملحوظاً في مشهد الأمن السيبراني، حيث أظهر قدرات هجومية متقدّمة ونموذج تشغيلي مدروس.
بدأت هذه المجموعة في الظهور حوالي يوليو 2025، وسرعان ما رسّخت نفسها كتهديد كبير، فنشرت بيانات 48 ضحية على موقعها الخاص بتسريب البيانات على الويب المظلم بين سبتمبر وأكتوبر 2025.
تعمل برامج الفدية هذه كمنصة “برامج فدية كخدمة” (RaaS)، مما يسمح للمنتسبين بتنفيذ الهجمات، بينما يحتفظ المشغلون الأساسيون بالسيطرة على البنية التحتية وعمليات التفاوض.
تعتمد “The Gentlemen” على استراتيجية الابتزاز المزدوج التي تجمع بين تشفير الملفات وسرقة البيانات. لا يؤدي هذا النهج فقط إلى حرمان الضحايا من الوصول إلى أنظمتهم، بل يخلق أيضاً ضغطاً إضافياً بالتهديد بنشر المعلومات المسروقة على مواقع تسريب الويب المظلم، ما لم يتم تلبية مطالبات الفدية.
“The Gentlemen” تتبنى استراتيجية ابتزاز مزدوجة
قبل إطلاق منصة “برامج الفدية كخدمة” الخاصة بها، أجرى المشغلون تجارب مع نماذج منتسبين مختلفة من مجموعات برامج فدية بارزة أخرى، مما ساعدهم على صقل أساليبهم وتطوير عملية أكثر تطوراً.
حدّد باحثو الأمن في “سايبريسون” (Cybereason) أن برامج الفدية تستهدف منصات ويندوز، لينكس، وESXi بأدوات تشفير متخصصة.
يستخدم البرمجية الخبيثة خوارزميات تشفير XChaCha20 و Curve25519 لتأمين الملفات، مما يجعل الاستعادة بدون مفتاح فك التشفير صعبة للغاية.
قدّمت التحديثات الأخيرة وظائف إعادة التشغيل التلقائي وتشغيل البرنامج عند بدء التشغيل، مما يعزز القدرة على البقاء على الأنظمة المخترقة.
انتشار الشبكة والقدرة على الحركة الجانبية
تنتشر برامج الفدية عبر الشبكات باستخدام تقنيات Windows Management Instrumentation و PowerShell remoting. عند التنفيذ، تتطلب البرمجية الخبيثة وسيطة كلمة مرور لبدء إجراء التشفير.
تدعم البرمجية الخبيثة أوضاع تشغيل متعددة، بما في ذلك تشفير مستوى النظام تحت امتيازات SYSTEM وتشفير مشاركات الشبكة عبر محركات الأقراص المعيّنة ومسارات UNC.
تعطّل البرمجية الخبيثة برنامج Windows Defender عن طريق تنفيذ أوامر PowerShell التي تغلق الحماية في الوقت الفعلي وتضيف الدلائل والعمليات إلى قوائم الاستبعاد.
كما أنها تمكّن اكتشاف الشبكة وقواعد جدار الحماية، مما يسهّل الحركة الجانبية عبر شبكات الشركات.
تستهدف برامج الفدية الخدمات والعمليات الحيوية، بما في ذلك محركات قواعد البيانات مثل MSSQL و MySQL، وأدوات النسخ الاحتياطي مثل Veeam، وخدمات المحاكاة الافتراضية مثل VMware.
للتملص من الكشف وتعقيد التحقيقات الجنائية، تحذف البرمجية الخبيثة سجلات الأحداث الخاصة بويندوز، وسجلات اتصال RDP، وملفات دعم Windows Defender، وبيانات Prefetch.
هذا النهج المضاد للتحقيق الجنائي يعرقل جهود الاستجابة للحوادث بشكل كبير ويجعل إعادة بناء الجدول الزمني أكثر تحدياً لفرق الأمن التي تحقق في الهجوم.