كشف تقرير أمني جديد عن سقوط أكثر من 1570 ضحية في قبضة عصابة "The Gentlemen" للفدية، وذلك بعد تحليل خادم التحكم الخاص ببرمجية SystemBC الخبيثة.
رصد الباحثون الأمنيون نشاطاً مكثفاً لمهاجمين مرتبطين بعملية "The Gentlemen" للفدية كخدمة (RaaS)، حيث استخدموا برمجية وكيلة معروفة تسمى SystemBC لتنفيذ عملياتهم التخريبية وتوسيع نطاق ضحاياهم حول العالم.
ما هي برمجية SystemBC وكيف تغلغلت في آلاف الأجهزة؟
تُعد برمجية SystemBC أداة قوية لإنشاء أنفاق شبكة SOCKS5 داخل بيئة الضحية، مما يسمح للمهاجمين بتأسيس اتصال آمن مع خادم التحكم (C2) باستخدام بروتوكول RC4 مشفر ومخصص. وبحسب متابعة تيكبامين، فإن هذه البرمجية لا تكتفي بإنشاء الأنفاق، بل يمكنها أيضاً تحميل وتنفيذ ملفات خبيثة إضافية.
- إنشاء أنفاق شبكة مشفرة للوصول عن بعد.
- تحميل برمجيات خبيثة أخرى مباشرة إلى الذاكرة.
- كتابة ملفات تخريبية على القرص الصلب لتثبيت الوجود.
- تجاوز الجدران النارية والأنظمة الدفاعية التقليدية.
من هي عصابة The Gentlemen وما هي طرق استهدافها؟
منذ ظهورها في يوليو 2025، أثبتت عصابة The Gentlemen أنها واحدة من أكثر مجموعات برمجيات الفدية شراسة وتطوراً. تعمل المجموعة وفق نموذج الابتزاز المزدوج، حيث تقوم بتشفير البيانات وتهديد الضحايا بتسريبها إذا لم يتم دفع الفدية، وقد طالت هجماتها بالفعل أكثر من 320 مؤسسة.
وفقاً لما ذكره تقرير أمني، تتميز هذه العصابة بمرونة عالية وقدرة على استهداف منصات متعددة تشمل:
- أنظمة ويندوز (Windows) بمختلف إصداراتها.
- خوادم لينكس (Linux) والمؤسسات الكبرى.
- أجهزة التخزين الشبكي (NAS).
- أنظمة BSD المتخصصة.
الأساليب التقنية المتبعة في الهجمات
تستخدم العصابة مزيجاً من الأدوات المشروعة والخبيثة لتنفيذ هجماتها. تبدأ العملية غالباً باستغلال الخدمات المتصلة بالإنترنت أو استخدام بيانات اعتماد مسروقة، ثم تتبعها خطوات مدروسة تتضمن التحرك الجانبي داخل الشبكة وتعطيل الأنظمة الدفاعية.
- إساءة استخدام كائنات سياسة المجموعة (GPOs) للسيطرة على النطاق بالكامل.
- استخدام سكربتات PowerShell لتعطيل برنامج Windows Defender.
- نشر أدوات مثل Cobalt Strike لتسهيل السيطرة والتحكم.
- تعديل الأدوات البرمجية بناءً على البيئة الأمنية للهدف.
ما هي الدول الأكثر تضرراً من حملة SystemBC الأخيرة؟
أظهرت التحقيقات أن خادم التحكم المرتبط ببرمجية SystemBC يمتلك بوتنت (شبكة بوتات) تضم ضحايا في مختلف القارات. وقد شملت قائمة الدول الأكثر تضرراً الولايات المتحدة الأمريكية، والمملكة المتحدة، وألمانيا، وأستراليا، ورومانيا.
وعلى الرغم من أن برمجية SystemBC معروفة في أوساط الأمن الرقمي منذ عام 2020، إلا أن دمجها ضمن ترسانة عصابة The Gentlemen يشير إلى رغبة المهاجمين في ضمان وصول مستقر وطويل الأمد لأنظمة الضحايا. وحسب تيكبامين، فإن هذا التطور يؤكد أن المهاجمين يراقبون عن كثب بيئات أهدافهم ويقومون بتعديل تكتيكاتهم باستمرار لتجاوز الحلول الأمنية الحديثة.
في الختام، يوصي الخبراء بضرورة تأمين الخدمات المتصلة بالإنترنت بشكل صارم، واستخدام مصادقة ثنائية قوية، ومراقبة أي نشاط غير معتاد لبرامج PowerShell أو تغييرات مفاجئة في سياسات المجموعة داخل الشبكات المؤسسية لتجنب السقوط ضحية لهذه الهجمات المتطورة.
