مجموعة The Gentlemen للفدية: 1,570 ضحية مؤسسية وتهديد متصاعد للقطاع المالي

كشف تحقيق أمني أجرته Check Point Research في أبريل 2026 عن خادم قيادة وسيطرة (C2) مرتبط ببرمجية SystemBC يربط أكثر من 1,570 ضحية مؤسسية بعمليات مجموعة The Gentlemen للفدية — المجموعة التي صعدت خلال تسعة أشهر فقط لتحتل المرتبة الثانية عالمياً من حيث عدد الضحايا المعلنين في الربع الأول من 2026.

صعود The Gentlemen: من الظهور إلى الهيمنة في أقل من عام

ظهرت مجموعة The Gentlemen لأول مرة في يوليو 2025 كمنصة فدية كخدمة (RaaS)، وخلال أقل من تسعة أشهر أعلنت مسؤوليتها عن أكثر من 340 هجوماً ناجحاً على موقعها لتسريب البيانات. الأرقام الحقيقية أكبر بكثير: فالكشف عن خادم SystemBC C2 أظهر أن العدد الفعلي للمؤسسات المخترقة يتجاوز 1,570 ضحية — معظمها بيئات مؤسسية وليست أهدافاً عشوائية. في تصنيف الربع الأول لعام 2026، جاءت المجموعة ثالثةً بـ 192 ضحية معلنة بعد Qilin (338) وAkira (197)، لكن البيانات المسربة تشير إلى حجم عمليات أكبر بكثير مما يظهر على السطح.

الأدوات والتقنيات: SystemBC كعمود فقري للعمليات

تعتمد المجموعة على برمجية SystemBC كأداة وصول أولية وقناة اتصال مشفرة. تنشئ SystemBC أنفاق SOCKS5 داخل بيئة الضحية وتتصل بخادم C2 باستخدام بروتوكول مخصص مشفر بـ RC4، مما يجعل اكتشافها صعباً على أنظمة مراقبة الشبكة التقليدية. البرمجية قادرة على تحميل وتنفيذ حمولات إضافية، سواء بكتابتها على القرص أو حقنها مباشرة في الذاكرة دون ترك أثر على نظام الملفات.

برنامج الفدية نفسه مكتوب بلغة Go ويستهدف ثلاث منصات: Windows وLinux وESXi. يوفر للشركاء أدوات متقدمة تشمل آليات تجاوز حلول EDR، وأدوات مخصصة للحركة الجانبية، وقدرات الحذف الذاتي ومسح السجلات لإزالة آثار الاختراق بعد تشفير البيانات.

استراتيجية الابتزاز المزدوج: السرقة قبل التشفير

تتبع The Gentlemen نموذج الابتزاز المزدوج (Double Extortion) بدقة عالية: بعد اختراق الشبكة، تبدأ أولاً بتسريب البيانات الحساسة إلى خوادمها الخارجية، ثم تشفّر الأنظمة وتطالب بفدية مقابل مفتاح فك التشفير. في حال رفض الضحية الدفع، تُنشر البيانات المسروقة على موقع التسريب الخاص بالمجموعة على الويب المظلم. هذا النموذج يضع المؤسسات المالية في موقف حرج بشكل خاص، حيث أن تسريب بيانات العملاء يُعد انتهاكاً مباشراً لنظام حماية البيانات الشخصية (PDPL) ومتطلبات السرية في إطار SAMA CSCC.

التأثير على المؤسسات المالية السعودية

يمثل نموذج RaaS الذي تعتمده The Gentlemen تهديداً مباشراً للقطاع المالي السعودي لعدة أسباب. أولاً، استهداف المجموعة للبيئات المؤسسية بشكل انتقائي يعني أن البنوك وشركات التأمين وشركات التقنية المالية (FinTech) تقع ضمن نطاق أهدافها المفضلة. ثانياً، قدرة SystemBC على إنشاء أنفاق مشفرة تتجاوز أنظمة المراقبة التقليدية تجعل الكشف المبكر تحدياً حقيقياً ما لم تكن المؤسسة تمتلك قدرات NDR متقدمة.

من منظور تنظيمي، يفرض إطار SAMA CSCC في النطاق 3.3 (إدارة التهديدات والثغرات) ضرورة تطبيق آليات كشف متقدمة للتهديدات المستمرة. كما يُلزم النطاق 3.4 (إدارة الحوادث) بوجود خطة استجابة محدّثة تتعامل مع سيناريو الابتزاز المزدوج تحديداً. عدم الامتثال لهذه المتطلبات لا يعرّض المؤسسة للاختراق فحسب، بل يعرّضها أيضاً لعقوبات تنظيمية من SAMA.

مؤشرات الاختراق الرئيسية (IoCs)

يجب على فرق SOC في المؤسسات المالية السعودية مراقبة المؤشرات التالية: اتصالات SOCKS5 غير مفسرة من خوادم داخلية إلى عناوين IP خارجية مشبوهة، عمليات تشفير RC4 غير اعتيادية في حركة الشبكة، تنفيذ ملفات Go binaries غير موقّعة على خوادم Windows أو Linux، محاولات تعطيل خدمات EDR أو تعديل سياسات Windows Defender، ونقل كميات كبيرة من البيانات خارج الشبكة خلال ساعات غير العمل.

التوصيات والخطوات العملية

1. تفعيل NDR متقدم: نشر حلول Network Detection and Response قادرة على فك وتحليل الاتصالات المشفرة بـ RC4 واكتشاف أنفاق SOCKS5 المخفية داخل حركة المرور المشروعة.
2. تقسيم الشبكة (Micro-Segmentation): تطبيق تقسيم دقيق للشبكة يمنع الحركة الجانبية بين القطاعات الحساسة، خاصة بين بيئات الإنتاج وأنظمة النسخ الاحتياطي.
3. حماية النسخ الاحتياطية: تطبيق قاعدة 3-2-1-1-0: ثلاث نسخ، على وسيطتين مختلفتين، واحدة خارج الموقع، واحدة غير متصلة بالشبكة (air-gapped)، مع صفر أخطاء في اختبارات الاستعادة.
4. محاكاة هجمات الابتزاز المزدوج: إجراء تمارين Tabletop Exercise فصلية تحاكي سيناريو سرقة بيانات + تشفير، وتختبر قدرة الفريق على الاستجابة وفق خطة إدارة الحوادث المعتمدة.
5. مراقبة تسريب البيانات (DLP): تفعيل حلول Data Loss Prevention على مستوى الشبكة ونقاط النهاية للكشف عن أي محاولة لنقل بيانات حساسة خارج المحيط المؤسسي.
6. تحديث قواعد YARA وSigma: دمج مؤشرات SystemBC وThe Gentlemen المنشورة في تقارير CYFIRMA وCheck Point ضمن منصة SIEM لتفعيل الكشف الاستباقي.

الخلاصة

تمثل مجموعة The Gentlemen نموذجاً متطوراً للجريمة السيبرانية المنظمة التي تجمع بين الكفاءة التقنية والانضباط التشغيلي. مع وجود أكثر من 1,570 ضحية مؤكدة واستراتيجية ابتزاز مزدوج فعّالة، فإن أي مؤسسة مالية سعودية لا تمتلك قدرات كشف متقدمة وخطة استجابة محدّثة تُعدّ هدفاً محتملاً. الامتثال لمتطلبات SAMA CSCC وNCA ECC ليس مجرد التزام تنظيمي — بل هو خط الدفاع الأساسي ضد هذا النوع من التهديدات.

هل مؤسستك مستعدة لمواجهة هجمات الابتزاز المزدوج؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واختبار جاهزية الاستجابة للحوادث.