عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد برامج الفدية The Gentlemen Ransomware

The Gentlemen Ransomware

بواسطة Mezo في برامج الفدية, التهديد المستمر المتقدم (APT)
ترجمة الى:

تكشف التحقيقات في عملية "السادة" أن مجموعة التهديد ذات الدوافع المالية كانت تعمل في الأصل كجهة تابعة تقوم بتنفيذ هجمات ابتزاز مزدوجة مع الاستفادة من البنية التحتية والموارد التي توفرها أنظمة متعددة لبرامج الفدية كخدمة (RaaS)، بما في ذلك LockBit و Qilin و Medusa.

يتابع العديد من الباحثين هذه العملية تحت اسم "فانتوم مانتيس"، ويقودها مجرم إلكتروني ناطق بالروسية يُعرف باسم LARVA-368. وقد ارتبط هذا الشخص بأسماء مستعارة متعددة على الإنترنت، منها hastalamuerte وArmCorp وzeta88 وnobody0 وsantamuerte. وقد أعلنت المجموعة، التي تنشط منذ مارس 2025، مسؤوليتها علنًا عن 478 ضحية.

ظهور جماعة التهديد

شهد يوليو 2025 تحولاً جذرياً عندما تطورت شركة فانتوم مانتيس إلى شركة ذا جنتلمن، وهو برنامج شراكة مستقل لم يعد يعتمد على مشغلي خدمات الفدية الخارجيين. وقد رافق هذا التحول استخدام مكثف للذكاء الاصطناعي لدعم تطوير برامج الفدية، وصيانة الأدوات، والأنشطة اللاحقة للاختراق.

تشير تقييمات معلومات التهديدات إلى أن مجموعة LARVA-368 كانت تعمل سابقًا ضمن مجموعة برامج الفدية Embargo قبل أن تطلق عملية منفصلة تحت اسم ArmCorp. وبعد أربعة أشهر، أعيد تسمية العملية إلى The Gentlemen.

تزامن توقيت هذا التحول بشكل وثيق مع نزاع علني بين برنامج الفدية LARVA-368 وعملية Qilin. اتهم المهاجم شركة Qilin بتنفيذ عملية احتيال عند الخروج من الحساب وحجب ما يقارب 48 ألف دولار من الأرباح.

لتعزيز حضورها في أوساط مجتمعات الجريمة الإلكترونية، استثمرت شركة فانتوم مانتيس في عضويات مميزة على منتديات الجرائم الإلكترونية. وتُدار وظائف الاتصالات والدعم الفني بشكل رئيسي من قبل شخصية منفصلة ناطقة بالروسية تُعرف باسم "ذا جنتلمن داتا".

نظام بيئي ناضج وسريع النمو لبرامج الفدية

يصف باحثو الأمن السيبراني برنامج "ذا جنتلمن" بأنه عملية فدية سريعة التطور وذات قدرة عالية على التكيف، تجمع بين تقنيات الفدية التقليدية وقدرات الفدية الحديثة كخدمة. ويتضمن نموذج تشغيله الابتزاز المزدوج، وأنواعًا مختلفة من برامج الفدية تعمل على منصات متعددة، وآليات انتشار مرنة، ودعمًا واسع النطاق من الشركاء.

برزت هذه المجموعة بسرعة كواحدة من أكثر الجهات الفاعلة نشاطًا في مجال برامج الفدية في مشهد التهديدات، حيث تمثل حوالي 10٪ من جميع أنشطة برامج الفدية التي تم رصدها خلال أبريل 2026. وعادة ما تتبع حملات الهجوم سلسلة اختراق تركز على المؤسسات وتبدأ من خلال الخدمات المعرضة للخطر والمتاحة عبر الإنترنت أو بيانات الاعتماد المخترقة.

تشير التحليلات أيضاً إلى أن المشغلين قادرون على تعديل أساليبهم بشكل ديناميكي أثناء عمليات الاختراق. وقد شملت هذه الأنشطة التلاعب بكائنات سياسة المجموعة (GPOs)، واختراق الحسابات ذات الامتيازات، ونشر تقنيات مخصصة مصممة للتحايل على ضوابط أمان نقاط النهاية.

يشير توزيع الضحايا إلى تركيز دولي في الغالب. حوالي 13% فقط من الضحايا المعروفين موجودون في الولايات المتحدة، بينما لوحظت أعلى تجمعات للضحايا في تايلاند والمملكة المتحدة والبرازيل وألمانيا والهند.

دعم الشركات التابعة وعمليات الأعمال الإجرامية

تحافظ شركة The Gentlemen على نظام بيئي منظم للشركاء مدعوم مباشرة من قبل LARVA-368. توفر الحسابات المخصصة على منصة المراسلة الفورية The Gentlemen المساعدة في عمليات التشفير والتحديات المتعلقة بالاختراق، بما في ذلك الوصول إلى أدوات تجاوز EDR التي تستفيد من تقنيات Bring Your Own Vulnerable Driver (BYOVD).

تتوفر خدمات الدعم لكل من "ذا جنتلمن" و"ذا جنتلمن داتا" عبر منصات المراسلة "توكس" و"سيمبل إكس تشات" و"ريكوشيه ريفريش". يجب على الراغبين بالانضمام إلى المنصة تقديم ما لا يقل عن 1 غيغابايت من بيانات الضحايا المسروقة قبل الحصول على صلاحية الوصول إلى بوابة الانضمام. ويبدو أن هذا الشرط يهدف إلى منع الباحثين ووكالات إنفاذ القانون من التسلل إلى المنصة بانتحال صفة المنتسبين.

تتيح بوابة إدارة الشركاء إدارة المستخدمين، وتكوين الأهداف، وإدارة نشر برامج الفدية. ولجذب المشاركين، تتبنى العملية هيكلاً تنافسياً لتقاسم الأرباح، حيث يُخصص 90% من الأرباح للشركاء و10% للمشغلين.

البنية التحتية التقنية ومنهجية الهجوم

تُقدّم المجموعة خمسة أنواع من برامج الفدية المصممة لاستهداف أنظمة ويندوز، ولينكس، وإي إس إكس آي، وويندوز إكس بي والإصدارات الأحدث، بالإضافة إلى البيئات التي تستخدم مدير وحدات التخزين المنطقية (LVM). وتركز عمليات الوصول الأولية عادةً على البنية التحتية المتصلة بالإنترنت مثل أجهزة VPN، وجدران الحماية، وأجهزة الحافة.

تتضمن دورة حياة الاختراق ترسانة واسعة من الأدوات والتقنيات الهجومية:

  • تُستخدم أدوات فريق الهجوم الأحمر، مثل NetExec وRelayKing وTaskHound وPrivHound وCertiHound، لاستطلاع Active Directory، واستغلال الشهادات، ورفع مستوى الصلاحيات، واكتشاف مشاركات الشبكة. وتُسهّل أدوات إضافية، مثل EDRStartupHinder وgfreeze وglinker وDumpBrowserSecrets، التهرب من الدفاعات وسرقة بيانات الاعتماد، بينما يدعم Velociraptor أنشطة القيادة والتحكم.
  • غالباً ما تتضمن الإجراءات التي تلي الاختراق مسح سجلات أحداث نظام ويندوز والتطبيقات والأمان، وتعطيل برنامج مايكروسوفت ديفندر، وإنشاء استثناءات من برامج مكافحة الفيروسات لتقليل فرص الكشف.

يستخدم برنامج الفدية نموذج تشفير هجين يجمع بين تبادل مفاتيح X25519 والتشفير المتناظر XChaCha20. وقد توصل الباحثون الذين يتابعون مجموعة النشاطات المعروفة باسم Storm-2697 إلى أن البرمجية الخبيثة مكتوبة بلغة Go ومُشفرة باستخدام Garble.

تُفعَّل إحدى القدرات الخطيرة بشكل خاص عبر مُعامل "--spread"، الذي يُحوّل برنامج الفدية من مُشفِّر مُثبَّت على جهاز واحد إلى دودة ذاتية الانتشار قادرة على توزيع نفسها عبر أنظمة الشبكة المُتاحة. عند تشغيله مع مُعامل "--wipe"، يُنفِّذ البرنامج الخبيث إجراءات إضافية تهدف إلى إزالة الملفات القابلة للاسترداد بعد التشفير.

أساليب الابتزاز والقدرة على المناورة العملياتية

تشير الأدلة إلى أن مجموعة "ذا جنتلمن" تستخدم استراتيجية ابتزاز متعددة القنوات تتجاوز مجرد نشر برامج الفدية. وقد يتعرض الضحايا أيضاً لرسائل بريد إلكتروني مباشرة وحملات ضغط هاتفية تهدف إلى زيادة احتمالية الدفع.

تُظهر دورة تطوير المجموعة مستوىً عالياً من الاستجابة. ومن الأمثلة البارزة على ذلك ما حدث في أبريل 2026 عندما أصدر المشغلون تحديثاً أمنياً في نفس اليوم الذي أصبح فيه برنامج فك التشفير متاحاً للعامة.

عادةً ما تبقى عمليات الاختراق غير مكتشفة لفترات تتراوح بين أسبوعين وستة أسابيع قبل تنفيذ التشفير. ويبدو أن المؤسسات التي تستخدم بنية VMware التحتية تُمثل هدفاً رئيسياً لجهود الاستهداف.

تسريبات داخلية تكشف عن الهيكل التنظيمي

حدث اختراق استخباراتي هام في مايو 2026 بعد الكشف عن قاعدة بيانات داخلية لبرنامج Rocket.Chat كانت تستخدمها المجموعة. احتوى التسريب على 3366 رسالة متبادلة بين نوفمبر 2025 وأواخر أبريل 2026، مما وفر معلومات قيّمة حول الهيكل الداخلي للعملية وسير العمل فيها.

كشفت المراسلات عن توزيع واضح للمسؤوليات بين الأعضاء، ووثّقت استخدام ثغرات أمنية تؤثر على عمليات VMware Aria، وتقنيات Fortinet، وCisco، وMicrosoft. وأظهرت السجلات وجود شبكة إجرامية منظمة تنظيماً جيداً، ذات أدوار متخصصة تدعم مختلف مراحل عمليات الهجوم.

كما أظهرت المعلومات المسربة رصداً وتقييماً نشطين للثغرات الأمنية الناشئة، بما في ذلك CVE-2024-55591 وCVE-2025-32433 وCVE-2025-33073. وقد جُمعت هذه الثغرات مع مسارات هجوم إضافية تشمل إساءة استخدام نظام النسخ الاحتياطي، واختراق وحدة التحكم الإدارية، وتقنيات ترحيل NTLM، مما أدى إلى إنشاء إطار عمل استغلالي عالي المرونة.

عرض مجموعة أدوات تشغيل كاملة

في مارس 2026، اكتشف باحثو الأمن السيبراني دليلاً مكشوفاً مُستضافاً على خدمة الاستضافة Proton66 المُحصّنة ضد الهجمات الإلكترونية. احتوى الدليل على 126 ملفاً تُنسب إلى جهة تابعة لمجموعة The Gentlemen RaaS، وكشف فعلياً عن مجموعة أدوات كاملة لمشغلي برامج الفدية.

غطت مجموعة الأدوات المسربة جميع مراحل دورة حياة الهجوم تقريبًا:

  • الاستطلاع وتحديد ملامح الضحايا
  • تصعيد الامتيازات
  • التهرب من الدفاع
  • سرقة بيانات الاعتماد
  • الحركة الجانبية
  • آليات الاستمرار
  • أنشطة التحضير قبل التشفير

أبرزت مجموعة الأدوات الواسعة النضج التشغيلي للنظام البيئي وقدمت لمحة نادرة عن الموارد المتاحة للشركات التابعة.

التهديد الكامن وراء العلامة التجارية

انخرطت مجموعة LARVA-368 في أنشطة إجرامية إلكترونية تركز على الابتزاز منذ عام 2020 على الأقل. ويبدو أن الخبرة المكتسبة من خلال التعاون مع العديد من عمليات برامج الفدية قد وفرت الخبرة الفنية والمعرفة التشغيلية والشبكة الإجرامية اللازمة لإنشاء وتوسيع نطاق The Gentlemen لتصبح مؤسسة RaaS مستقلة كبيرة.

إن الجمع بين التطور التقني، وممارسات الأعمال التي تركز على الشركات التابعة، ودورات التطوير السريعة، وأساليب الابتزاز العدوانية التي اتبعتها العملية، جعل "ذا جنتلمن" من بين أبرز تهديدات برامج الفدية التي تواجه المنظمات في جميع أنحاء العالم حاليًا.

الشائع

الأكثر مشاهدة

جار التحميل...