كشف بحث حديث أجراه فريق البحث والتحليل العالمي لدى شركة كاسبرسكي GReAT عن تطور تقني بارز في الهجمات السيبرانية التي تنفذها مجموعة برمجيات الفدية المعروفة باسم ذا جينتلمن The Gentlemen.

وأوضح التقرير أن المجموعة طورت أدوات مخصصة جديدة تتضمن باباً خلفياً يتيح لها جمع المعلومات الاستخباراتية وتفحص الشبكات قبل تشفير البيانات والسيطرة الكاملة على الأجهزة المخترقة، حيث تواصل المجموعة نشاطها العدائي على مستوى العالم مستهدفة مؤسسات كبرى في قطاعات التصنيع، تقنية المعلومات، الرعاية الصحية، الخدمات المالية، الإنشاءات، والخدمات اللوجستية.

التوزيع الجغرافي لهجمات برمجيات الفدية ونسب استهداف المناطق

سلطت مؤشرات شبكة كاسبرسكي الأمنية Kaspersky Security Network الضوء على التوجهات الراهنة لضحايا برمجيات الفدية، حيث جاءت أمريكا اللاتينية في صدارة المناطق الجغرافية الأكثر تعرضاً للاستهداف بنسبة 8.13% من إجمالي المؤسسات المكتشفة، تلتها منطقة آسيا والمحيط الهادئ بنسبة 7.89%.

وحلت القارة الإفريقية في المرتبة الثالثة بنسبة 7.62%، وجاءت منطقة الشرق الأوسط بنسبة 7.27%، ثم رابطة الدول المستقلة بنسبة 5.91%، بينما سجلت الأسواق الأوروبية أدنى معدل استهداف بواقع 3.82%.

تعد ذا جينتلمن من المجموعات المتسارعة النمو التي تتبع نموذج برمجيات الفدية كخدمة RaaS، حيث تشير التقديرات الفنية إلى بدء نشاطها الجماعي في منتصف عام 2025، ويعتمد أفراد المجموعة على استغلال الثغرات في الخدمات المتصلة بالإنترنت وبيانات الاعتماد المسربة للولوج إلى الأنظمة.

ورصد خبراء الأمن السيبراني تعاون المجموعة مع وسطاء الوصول الأولي IABs لشراء منافذ جاهزة إلى شبكات الشركات التي تمتلك ملكية فكرية عالية القيمة، مما يفسر حدوث الاختراقات الأولية قبل وقت طويل من زرع البرمجية الخبيثة وتشفير الملفات.

تتميز المجموعة بمستوى متقدم من المرونة والتطور مقارنة بنظرائها، حيث اكتشف باحثو كاسبرسكي باباً خلفياً جديداً طُوّر بلغة جو Go وجرى نشره قبل يوم واحد من الهجوم لجمع معلومات الشبكة وإخفاء نوافذ التنفيذ لتفادي الرصد.

وعلاوة على ذلك، رصدت الحلول الأمنية إصداراً جديداً من برمجية الفدية مكتوباً بلغة سي C وموجهاً خصيصاً لاستهداف بيئات تشغيل ويندوز Windows، مما يشير إلى أن المجموعة تجري اختبارات ميدانية لتطوير ترسانتها، ومن جهة أخرى حاولت المجموعة تعطيل جدار حماية كاسبرسكي باستخدام أداة الإزالة الرسمية kavrmvr.exe إلا أن نظام الحماية أحبط المحاولة وواصل العمل وتصنيف النشاط كحركة خبيثة.

أوضح فاتح سينسوي، الخبير الأمني في فريق GReAT لدى كاسبرسكي، أن اختبار المجموعة لمتغيرات برمجية جديدة يعكس جهوداً مستمرة لتوسيع نطاق العمليات، مشدداً على ضرورة منح المؤسسات أولوية قصوى لإدارة الثغرات ولتعزيز الدفاعات السيبرانية توصي الشركة بالتدابير الآتية:.

  • التحديث الدوري والمستمر لكافة الأنظمة والبرمجيات لسد الثغرات قبل استغلالها
  • تركيز الاستراتيجيات الدفاعية على رصد التحركات الجانبية ومراقبة حركة البيانات الصادرة لمنع التسريب
  • إنشاء نسخ احتياطية معزولة وغير متصلة بالشبكة لضمان استرجاع البيانات عند الطوارئ
  • ترقية الحماية عبر دمج حلول الاستجابة للنقاط الطرفية EDR والأنظمة المضادة للتهديدات المتقدمة anti-APT
  • تزويد فرق مراكز العمليات الأمنية SOC بأحدث تدريبات استخبارات التهديدات بشكل مستمر