عصابة The Gentlemen: تهديد فدية متصاعد لبنوك SAMA السعودية

في أقل من عام واحد، انتقلت عصابة The Gentlemen من 35 ضحية في الربع الرابع 2025 إلى أكثر من 320 ضحية معلنة بحلول أبريل 2026، مما يجعلها ثاني أنشط مجموعة فدية على مستوى العالم. توسعها العنيف نحو القطاع المالي يضع بنوك SAMA أمام موجة تهديد جديدة تستوجب إعادة تقييم فوري للضوابط الدفاعية.

من هي عصابة The Gentlemen ransomware

ظهرت The Gentlemen كعملية Ransomware-as-a-Service (RaaS) في يونيو 2025، وسرعان ما تحولت إلى تهديد عالمي بفضل نموذج تشاركي عدواني مع المنتسبين (Affiliates). المجموعة تتبع نموذج الابتزاز المزدوج التقليدي: تسريب بيانات حساسة بحجم يتراوح بين مئات الجيجابايت إلى عدة تيرابايت قبل التشفير، ثم نشرها على موقع تسريب مخصص عبر شبكة Tor في حال رفض الدفع. استهدفت العصابة حتى الآن قطاعات التصنيع والتقنية والصحة والخدمات المالية، مع تركيز جغرافي على الولايات المتحدة وأوروبا الغربية وآسيا، ولا يوجد ما يحول دون توسعها نحو منطقة الخليج.

تفكيك سلسلة الهجوم: SystemBC وCobalt Strike وGPO المُسلّحة

الباحثون رصدوا أن منتسبي The Gentlemen يجمعون بين حمولة الفدية وعدة أدوات متقدمة: برمجية SystemBC للوكيل (proxy malware) لإنشاء أنفاق SOCKS5 خفية للقيادة والسيطرة، إطار عمل Cobalt Strike للحركة الجانبية، وأداة Mimikatz لحصاد بيانات الاعتماد من ذاكرة LSASS. الأخطر هو نشر الفدية على مستوى النطاق بالكامل عبر كائنات سياسة المجموعة المُسلّحة (Weaponized Group Policy Objects)، وهي تقنية تستغل الثقة المركزية في Active Directory لتوزيع الحمولة على آلاف الأجهزة في دقائق معدودة.

الدخول الأولي يأتي عادة من ثلاث مصادر: استغلال ثغرات أجهزة الحافة (VPN gateways، RMM tools)، شراء بيانات اعتماد من Initial Access Brokers، أو هجمات تصيد موجهة على حسابات ذات صلاحيات عالية. بمجرد الدخول، تستغرق الفترة بين الاختراق والتشفير الكامل أحياناً أقل من 48 ساعة.

التأثير على المؤسسات المالية السعودية وضوابط SAMA CSCC

تُمثّل ضحية حديثة مثل Rogers Capital (يناير 2026) إنذاراً مبكراً بأن المؤسسات المالية ضمن قائمة الأولويات. لو حدث اختراق مماثل لبنك سعودي، فإن تبعاته تطال إطار SAMA Cyber Security Framework على عدة محاور: ضابط 3.3.5 (Identity & Access Management) لانكشاف Active Directory، 3.3.7 (Application Security) لاستغلال التطبيقات، 3.3.13 (Cyber Security Incident Management) لزمن الاستجابة، إضافة إلى متطلبات NCA ECC في 2-1 (Asset Management) و2-9 (Incident & Threat Management). كذلك يفرض نظام حماية البيانات الشخصية (PDPL) إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة عند تسريب بيانات العملاء، مع غرامات تصل إلى 5 ملايين ريال للمخالفة الواحدة.

التوصيات والخطوات العملية لفِرَق SOC وCISO

1. تصلب Active Directory: تطبيق Tier Model للحسابات الإدارية، تفعيل LSASS Protection، ومراقبة إنشاء أو تعديل GPO عبر Event ID 5136 و5137 في Domain Controllers بشكل آني.
2. كشف SystemBC وCobalt Strike: نشر قواعد Sigma وYARA المخصصة لاكتشاف Beacon C2، ومراقبة اتصالات SOCKS5 غير المشروعة في حركة الشبكة، وحظر النطاقات والـ IPs المرتبطة بالعصابة في WAF و SIEM.
3. تجزئة الشبكة (Microsegmentation): فصل بيئات الإنتاج عن بيئات الإدارة، ومنع الاتصالات الجانبية SMB/WinRM بين محطات العمل، تطبيقاً لمتطلب SAMA CSCC 3.3.6.
4. نسخ احتياطية مقاومة (Immutable Backups): اعتماد قاعدة 3-2-1-1-0 مع نسخة معزولة فعلياً (air-gapped) واختبار الاسترجاع شهرياً، وإلا فإن الاسترجاع لن يكون خياراً عملياً عند الهجوم.
5. اختبار اختراق متخصص (Adversary Emulation): محاكاة سلسلة هجوم The Gentlemen عبر Atomic Red Team أو Caldera، مع التركيز على تقنيات MITRE ATT&CK: T1486 (Data Encrypted for Impact)، T1059 (Command Execution)، T1484.001 (Group Policy Modification).
6. صياغة كتيب استجابة (Playbook) خاص بالفدية: يشمل قرارات العزل، التواصل مع SAMA، الإفصاح للجهات التنظيمية، والتعامل القانوني مع طلبات الفدية وفق العقوبات الدولية.
7. إدارة المخاطر بالطرف الثالث (TPRM): مراجعة وضع الموردين الذين يمتلكون اتصالاً مباشراً بالشبكة الداخلية، خصوصاً مزودي خدمات RMM والـ MSPs.

الخلاصة

صعود The Gentlemen يؤكد أن مشهد الفدية لا يهدأ، بل يعيد تشكيل نفسه باستمرار بنماذج RaaS أكثر احترافية وتقنيات أعمق في استغلال البنية التحتية. القطاع المالي السعودي، بحكم قيمته الاستراتيجية وامتثاله لمعايير صارمة، يبقى هدفاً جذاباً، والوقاية المسبقة عبر تصلب الهوية والتجزئة والاختبار المستمر هي الفارق الحقيقي بين حادثة محتواة وكارثة تشغيلية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومحاكاة سيناريو هجوم The Gentlemen ضمن بيئتك.