شهدت الأسواق العالمية لخدمات برامج الفدية (RaaS) ظهور تهديد جديد ومنظم للغاية يُعرف باسم “The Gentlemen”، ليضع الشركات في جميع أنحاء العالم تحت دائرة الخطر. تبرز هذه الجهة كمنصة إجرامية متطورة، حيث أعلنت عن إصابة أكثر من 320 جهة، أغلبها في الأشهر الأولى من عام 2026.
يشير التوسع السريع لهذه المجموعة إلى قوة في استقطاب الشركاء وقدرات تقنية عالية لدى قادتها. ومن اللافت للنظر في “The Gentlemen” هو النطاق الواسع لأدوات برامج الفدية التي طوروها، والقادرة على استهداف أنظمة تشغيل متعددة في وقت واحد.
“The Gentlemen”: تهديد جديد يستهدف أنظمة متعددة
تقدم المجموعة برامج فدية مكتوبة بلغة البرمجة Go، تعمل عبر أنظمة Windows وLinux وأنظمة التخزين المتصلة بالشبكة (NAS) وكذلك بيئات BSD. بالإضافة إلى ذلك، لديهم برنامج فدية منفصل مكتوب بلغة C، مصمم خصيصًا لاستهداف البنية التحتية الافتراضية VMware ESXi.
هذه القدرة على العمل عبر منصات متعددة تسمح للشركاء بإحداث أكبر قدر ممكن من الأضرار في حملة واحدة، حيث يمتدون ليشملوا كل من نقاط النهاية التقليدية والبنية التحتية الافتراضية التي تعتمد عليها العديد من المؤسسات.
آلية عمل المنصة الإجرامية
تعمل عملية “The Gentlemen” كعمل تجاري منظم. يقوم المشغلون بالإعلان عن خدماتهم على منتديات الإنترنت تحت الأرض، بهدف تجنيد جهات فنية ماهرة كشركاء. يتلقى الشركاء المعتمدون أدوات متطورة لقتل برامج الكشف عن التهديدات (EDR) وبنية تحتية خاصة للتنقل داخل الشبكات.
في حالة عدم دفع الفدية، يتم نشر بيانات الضحايا على موقع تسريب على الويب المظلم، بينما تتم المفاوضات بشكل خاص عبر بروتوكول Tox، وهو بروتوكول مراسلة مشفر من نظير إلى نظير. تشغل المجموعة أيضًا حسابًا نشطًا على منصة X (تويتر سابقًا)، والذي يتم الإشارة إليه في مذكرة الفدية، حيث يتم ذكر الضحايا علنًا لزيادة الضغط لدفع الفدية.
حدد باحثون من Check Point Research البرمجيات الخبيثة خلال حملة استجابة للحوادث، حيث قام أحد الشركاء بنشر برمجية خبيثة وسيطة (SystemBC) على نظام تم اختراقه. لوحظت حركة بيانات من خادم القيادة والتحكم الخاص بـ SystemBC، مما كشف عن شبكة تضم أكثر من 1,570 ضحية عالميًا، حيث شكلت الولايات المتحدة الجزء الأكبر منها، تليها المملكة المتحدة وألمانيا.
يشير ملف تعريف الضحايا بقوة إلى استهداف متعمد للمؤسسات بدلاً من الأفراد. ويعكس هذا التركيز على استهداف المؤسسات طبيعة عمل برامج الفدية كخدمة، حيث تسعى هذه الجماعات لتحقيق أقصى عائد مالي من خلال استهداف الكيانات الكبيرة.
آلية الاختراق والتنقل داخل الشبكة
يكشف مسار الاختراق الذي لوحظ بواسطة Check Point عن هجوم منظم بعناية. أظهر أول نشاط مؤكد أن المهاجم كان بالفعل داخل وحدة تحكم المجال (Domain Controller) بصلاحيات المسؤول عن المجال (Domain Admin).
من هناك، تم نشر حمولات Cobalt Strike على الأنظمة البعيدة عبر المشاركات الإدارية باستخدام ملفات تنفيذية بأسماء عشوائية. تضمنت الأوامر الأولية مثل systeminfo وwhoami وسرد الدلائل تأكيدًا بأن المهاجم كان يقوم بعملية استكشاف منهجية للبيئة قبل التوسع بشكل أكبر.
للتنقل الجانبي، تستخدم برامج الفدية وسيط نشر مدمج يقبل بيانات الاعتماد الخاصة بالمجال التي تم جمعها أثناء الاختراق. بمجرد تنشيطه، يقوم بتعداد كافة أجهزة المجال عبر Active Directory، ويقوم بإرسال طلب ping لكل مضيف لتأكيد إمكانية الوصول، ثم يقوم بتسليم ثنائي برامج الفدية عبر ست قنوات متوازية: PsExec، WMI، المهام المجدولة عن بعد، الخدمات عن بعد، وطرق التنفيذ المعتمدة على PowerShell.
قبل تشغيل برنامج الفدية على كل هدف، يقوم المهاجم بتعطيل Windows Defender، ويضيف استثناءات مسار واسعة النطاق للمحرك C: بأكمله، ويوقف تشغيل جدار الحماية، ويعيد تمكين SMB1. يتم حذف النسخ الاحتياطية (Shadow copies) لمنع استعادة الملفات، ويتم مسح سجلات الأحداث لإزالة الأدلة الجنائية.
للتنفيذ النهائي، تستغل المجموعة كائنات نهج المجموعة (Group Policy Objects) لدفع برامج الفدية إلى كل جهاز متصل بالمجال في وقت واحد. برنامج الفدية الخاص بـ ESXi يقوم بإيقاف تشغيل جميع الأجهزة الافتراضية أولاً، مما يحرر التأمين على ملفات الأقراص الافتراضية قبل بدء التشفير. ثم يقوم بنسخ نفسه إلى /bin/.vmware-authd لمحاكاة برنامج VMware الشرعي لضمان الاستمرارية.
يجب على المؤسسات تطبيق المصادقة متعددة العوامل على جميع الحسابات الإدارية ونقاط الوصول عن بعد. يجب أن تحد تجزئة الشبكة من وصول أي مهاجم يحصل على مستوى مسؤولية المجال. يجب حماية سياسات Windows Defender وجدار الحماية من خلال تكوينات مقاومة للتلاعب. يجب أن تظل أنظمة النسخ الاحتياطي غير متصلة بالإنترنت أو معزولة، حيث أن برامج الفدية يقوم بنشاط بإنهاء الخدمات المتعلقة بالنسخ الاحتياطي.
يجب على فرق الأمن أيضًا مراقبة إنشاء المهام المجدولة غير العادية، والتنقل الجانبي عبر المشاركات الإدارية، وأوامر PowerShell التي تحاول تعطيل المراقبة في الوقت الفعلي أو تعديل إعدادات سجل LSA.