كشف فريق البحث والتحليل العالمي لدى مركز الأبحاث الروسي كاسبرسكي عن تطور ملحوظ في أساليب الهجوم التي تعتمدها مجموعة برمجيات الفدية The Gentlemen، حيث طورت أدوات هجومية مخصصة تشمل بابًا خلفيًا جديدًا لجمع المعلومات والسيطرة على الأجهزة المخترقة قبل تنفيذ هجمات الفدية، بالإضافة إلى تطوير نسخة جديدة من برمجيات الفدية تستهدف أنظمة ويندوز.

وأوضح التقرير أن المجموعة تواصل توسيع نطاق عملياتها عالميًا، مستهدفة مؤسسات في قطاعات متنوعة مثل التصنيع، وتقنية المعلومات، والرعاية الصحية، والخدمات المالية، والإنشاءات، والخدمات اللوجستية.

أبرز اتجاهات هجمات برمجيات الفدية

وأشار التقرير إلى أن مجموعة The Gentlemen، التي يُعتقد أنها بدأت نشاطها في منتصف عام 2025، تُعد من أسرع مجموعات برمجيات الفدية كخدمة (RaaS) نموًا، إذ تعتمد على استغلال الخدمات المتصلة بالإنترنت وبيانات الاعتماد المخترقة للوصول إلى أنظمة الضحايا، مع وجود مؤشرات على تعاونها مع وسطاء الوصول الأولي (IABs) للحصول على منافذ جاهزة إلى المؤسسات المستهدفة دون الحاجة إلى تنفيذ عمليات اختراق معقدة.

ورصد باحثو المركز أيضًا بابًا خلفيًا جديدًا تم تطويره بلغة Go، يزرع داخل الأنظمة قبل تنفيذ هجوم الفدية بيوم واحد، مما يتيح للمهاجمين جمع معلومات تفصيلية عن الأجهزة والشبكات وإخفاء نافذة التنفيذ لتجنب الرصد، فضلًا عن تنفيذ الأوامر عن بُعد وإجراء عمليات استطلاع تساعد في توسيع نطاق الهجوم داخل الشبكات المخترقة.

كما اكتشف التقرير إصدارًا جديدًا من برمجيات الفدية مكتوبًا بلغة C ويستهدف أنظمة ويندوز، مما يعكس سعي المجموعة لتطوير أدواتها الهجومية واختبارها داخل بيئات فعلية بعدما كانت تعتمد سابقًا على نسخة مكتوبة بلغة Go تعمل عبر منصات متعددة.

ولفت التقرير إلى أن المجموعة حاولت خلال إحدى الهجمات تعطيل حلول كاسبرسكي الأمنية باستخدام أداة مصممة لإزالة منتجات الشركة، إلا أن منظومة الحماية تمكنت من رصد المحاولة ومنعها مع تصنيفها كنشاط ضار.

وقال فاتح سينسوي، الخبير الأمني في فريق البحث والتحليل العالمي لدى المركز الروسي، إن مجموعة The Gentlemen ورغم حداثة ظهورها تفرض نفسها سريعًا بين أبرز مجموعات برمجيات الفدية سواء من خلال استقطاب شركاء جدد أو تنفيذ هجمات متطورة، مشيرًا إلى أن تطوير متغيرات جديدة من برمجيات الفدية المكتوبة بلغة C يعكس سعيها المستمر لرفع كفاءة أدواتها مما قد يؤدي إلى تنفيذ هجمات أكثر تعقيدًا واستقرارًا خلال الفترة المقبلة.

ودعت كاسبرسكي المؤسسات إلى تحديث البرمجيات بشكل دوري وتعزيز مراقبة حركة البيانات داخل الشبكات وإنشاء نسخ احتياطية غير متصلة بالشبكة بالإضافة إلى الاعتماد على حلول الحماية المتقدمة مثل EDR وحلول مكافحة التهديدات المستعصية (Anti-APT) لتعزيز القدرة على اكتشاف الهجمات والاستجابة لها بسرعة.