عصابة The Gentlemen: 1,570 ضحية وتهديد جديد لبنوك SAMA

كشف خادم تحكم وسيطرة (C2) خاص ببرمجية SystemBC عن قائمة تتجاوز 1,570 ضحية مرتبطة بعصابة الفدية الناشئة The Gentlemen منذ يوليو 2025. هذا الكشف يضع فرق أمن المعلومات في بنوك SAMA أمام واقع جديد: خصم تقني متطور، يحمل أدوات مأخوذة من Qilin RaaS، ويستهدف بشكل ممنهج أجهزة SonicWall VPN والبنية التحتية للمؤسسات المالية في الشرق الأوسط.

من هي عصابة The Gentlemen ولماذا تشكّل خطراً مختلفاً؟

ظهرت The Gentlemen كانشقاق داخل منظومة Qilin Ransomware-as-a-Service، يقوده فرع من المرتبطين السابقين عُرف باسم ArmCorp. الفارق هنا أن المجموعة لم تبدأ من الصفر — بل ورثت أدوات ناضجة وبنية تحتية جاهزة، ما اختصر منحنى التعلّم المعتاد للعصابات الجديدة. التقارير الفنية من Group-IB وThe Hacker News تؤكد توسعاً صاروخياً من 35 ضحية في الربع الرابع من 2025 إلى 182 ضحية في الربع الأول من 2026، لتصبح ثاني أنشط عصابة فدية عالمياً.

ما يجعل هذه العصابة جذابة للمرتبطين هو نموذج تقاسم الأرباح 90/10 لصالح الشريك، وهو أكثر سخاءً من Qilin (80-85%) أو LockBit التاريخي. هذا يعني أن مجرمين أكثر مهارة سينضمون إليها، ومن ثَمّ هجمات أكثر تخصيصاً واستهدافاً للقطاعات عالية القيمة كالمصارف.

تحليل تقني لتكتيكات وأدوات (TTPs) The Gentlemen

اعتمدت العصابة على سلسلة هجوم تتألف من أربع مراحل واضحة، يعكسها تحليل خادم SystemBC المسرّب:

الوصول الأولي: استغلال أجهزة SonicWall VPN غير المحدّثة، وبيانات اعتماد مسرّبة عبر سوق Initial Access Brokers، وأحياناً ثغرات في خدمات الإنترنت العامة. هذا يعكس النمط نفسه الذي رأيناه في هجمات Akira على SonicWall.

التحرك الجانبي: سوء استخدام Group Policy Objects (GPO) لنشر الحمولة على نطاق المجال (Domain-wide). هذه التقنية فعّالة لأنها تستغل آلية إدارة شرعية في Active Directory، ما يجعل اكتشافها أصعب بكثير من برمجية خبيثة منعزلة.

التهرب من الدفاعات: اعتماد تقنية Bring-Your-Own-Vulnerable-Driver (BYOVD)، حيث تُحمَّل تعريفات شرعية موقّعة لكنها مصابة بثغرات تسمح بتعطيل حلول EDR وXDR قبل تنفيذ التشفير.

التشفير والابتزاز: نموذج ابتزاز مزدوج (Double Extortion) — تشفير البيانات وتسريبها على موقع التسريب الخاص بالعصابة، مع استخدام SystemBC كقناة C2 خفية تحاكي حركة شبكة شرعية.

التأثير المباشر على المؤسسات المالية السعودية

وجود SonicWall كناقل وصول رئيسي يجعل بنوك ومؤسسات SAMA في خط النار مباشرة. الكثير من البنوك الإقليمية تعتمد على SonicWall لربط الفروع البعيدة وللوصول عن بعد للموظفين، خاصة بعد التوسع في العمل الهجين منذ 2023. أي فرع مالي أو تأميني يشغّل جهازاً غير مُرقّع هو نقطة دخول محتملة لهجوم مدمّر.

الالتزام بمتطلبات SAMA Cyber Security Compliance Control (CSCC) يضع ثلاث مسؤوليات صريحة هنا: الضابط 3.3.5 (إدارة الثغرات)، الضابط 3.3.14 (حماية النهاية)، والضابط 3.3.15 (الاستجابة للحوادث). إضافة إلى ذلك، يتقاطع متطلب NCA ECC-2:2024 الفرعي 2-5-3 (التصحيح الأمني) مع نفس المخاطر. التقصير في أي من هذه الضوابط في حال هجوم ناجح يعني تعرّض المؤسسة لمخالفات تنظيمية بجانب الخسارة التشغيلية.

أيضاً، نموذج الابتزاز المزدوج يضع المؤسسة المالية تحت طائلة نظام حماية البيانات الشخصية (PDPL)؛ تسريب بيانات العملاء يستوجب إخطار هيئة البيانات الوطنية SDAIA خلال 72 ساعة، ويفتح الباب لغرامات قد تصل إلى 5 ملايين ريال أو ما يعادل 5% من الإيرادات السنوية حسب الجسامة.

التوصيات والخطوات العملية لفريق الأمن السيبراني

1. فحص فوري لأجهزة SonicWall: تأكد من تطبيق آخر تحديثات SonicOS، وإلغاء أي حسابات إدارية مع كلمات مرور افتراضية، وتفعيل MFA على جميع جلسات SSL VPN. راجع سجلات الجلسات للأشهر الستة الأخيرة بحثاً عن دخول من جغرافيات غير معتادة.
2. مراجعة GPO على مستوى المجال: فعّل تدقيق التغييرات على Group Policy Objects عبر Event ID 5136 و5137 في Windows Security Log، ووجّه تنبيهاً عالياً إلى SOC عند أي تعديل خارج نوافذ الصيانة المعتمدة.
3. الحد من BYOVD: فعّل قائمة الحظر الخاصة بمايكروسوفت للتعريفات المعرضة للخطر (Microsoft Vulnerable Driver Blocklist) عبر سياسة WDAC، وحدّث القائمة شهرياً.
4. اكتشاف SystemBC: اربط بوابات الويب (Web Proxy) بقواعد كشف للحركة الخاصة بـ SystemBC — اتصالات SOCKS5 صادرة من خوادم لا يُفترض أن تُجري اتصالات بالإنترنت، وحركة TCP غير عادية على المنفذ 4001.
5. اختبار سيناريو محاكاة (Tabletop): نفّذ تمريناً يحاكي اختراق SonicWall ونشر فدية عبر GPO خلال 72 ساعة. وثّق الفجوات وفق تنسيق تقرير حادث NCA.
6. تأمين النسخ الاحتياطي: طبّق قاعدة 3-2-1-1-0 (ثلاث نسخ، وسيطين، نسخة خارج الموقع، نسخة غير قابلة للتعديل، صفر أخطاء تحقق)، وافصل بيانات اعتماد بيئة النسخ عن المجال الأساسي.
7. صيد التهديدات (Threat Hunting): ابحث في بيئتك عن مؤشرات اختراق SystemBC والـ IPs المنشورة من Group-IB وThe DFIR Report، واستخدم قواعد Sigma المنشورة لاكتشاف نمط نشر الفدية عبر GPO.

الخلاصة

The Gentlemen ليست مجرد عصابة فدية أخرى — هي إعادة تموضع تقني لمنظومة Qilin مع نموذج عمل أكثر جاذبية للمرتبطين، وأهداف واضحة في القطاع المالي. كشف 1,570 ضحية في عشرة أشهر يعني أن النموذج يعمل، والمؤسسات المالية السعودية يجب أن تتعامل مع هذا التهديد بصفته أولوية قصوى لربع 2026 الثاني، لا بصفته خبراً عابراً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة بنية SonicWall وضوابط GPO وجاهزية الاستجابة لحوادث الفدية.