تعرضت مجموعة برامج فدية "The Gentlemen"، وهي عملية متطورة لبرامج الفدية كخدمة (RaaS) ظهرت لأول مرة في أوائل عام 2025، لخرق كبير في البيانات.  

وفقاً للمراسلات الداخلية التي اطلع عليها باحثو Shieldworkz، فقد تم عرض البيانات المسروقة وتفاصيل عمليات برنامج الفدية الخاصة بهم للبيع على منتديات الجرائم الإلكترونية (بما في ذلك "Breached"). وتمت مشاركة البيانات لاحقاً مجاناً، مما يمثل حالة من "انقلاب السحر على الساحر" بالنسبة لمجموعة القرصنة. 

التفاصيل الرئيسية المتعلقة بخرق وعمليات "The Gentlemen":

• معلومات الخرق: تشير أبحاث Shieldworkz إلى أن البيانات الداخلية، التي ربما تتضمن تفاصيل عن الضحايا السابقين والمفاوضات، تم إدراجها مقابل 10,000 دولار بالبيتكوين قبل تسريبها.

• الضحايا المستهدفون: قبل تعرضهم للاختراق، تحولت مجموعة "The Gentlemen" بسرعة إلى تهديد رئيسي، حيث حصدت أكثر من 350 ضحية (حتى أبريل 2026).

• القطاعات المستهدفة: استهدفت المجموعة قطاعات التصنيع، والإنشاءات، والرعاية الصحية، والتأمين في 17 دولة على الأقل، لا سيما في منطقة آسيا والمحيط الهادئ. وكان قطاع التصنيع هو الخيار المفضل.

• التكتيكات: كانت المجموعة تستخدم تكتيكات الابتزاز المزدوج، حيث تجمع بين تشفير البيانات وسرقة المعلومات الحساسة للضغط على الضحايا.

• الوصول الأولي: كشفت التحقيقات في أنشطتها أن هجماتها غالباً ما بدأت ببيانات اعتماد مخترقة لأجهزة شبكات الحافة، مثل أجهزة Fortinet، واستخدام أدوات مثل ZeroPulse.

• الأصول: يُشتبه في أن المجموعة كانت تعمل من مناطق ناطقة باللغة الروسية، حيث حظرت استهداف المؤسسات في روسيا ودول رابطة الدول المستقلة (CIS) الأخرى

يعد هذا الحدث جزءاً من اتجاه في منظومة الجرائم الإلكترونية حيث يتم استهداف مشغلي برامج الفدية أنفسهم واختراقهم.

لا يمكن التعامل مع هذا الخرق مجرد إدخال آخر في سجلات "الاختراق المضاد". بدلاً من ذلك، فإن ما شهدناه هو إشارة عميقة إلى تحول الصفائح التكتونية داخل منظومة برامج الفدية كخدمة (RaaS). عندما يتم تجريد مجموعة تبني "نموذج أعمالها" بالكامل على مظهر من اللياقة المهنية والابتزاز "الشريف" من كل شيء، فإن التداعيات تمتد إلى ما هو أبعد بكثير من تسريب الكود المصدري.

أثناء فحص القياس عن بعد لهذا الحادث، نحتاج إلى تجاوز عناوين الأخبار التي تتحدث عن "تحول الصياد إلى فريسة" والنظر في المشكلات الهيكلية التي يكشفها هذا الحادث.

قبل أن نمضي قدماً، لا تنسَ قراءة منشور مدونتنا السابق حول "حرب الظل تهدد سيادة الطاقة في الهند" هنا. دعونا الآن نحلل هذه الواقعة.

مفارقة "الابتزاز المهذب"

سوقت مجموعة "The Gentleman" لنفسها ككيان متطور وشبه مؤسسي. وقدمت نفسها كبديل "مهذب" لتكتيكات الأرض المحروقة التي تتبعها مجموعات مثل LockBit أو Conti. كانت هذه العلامة التجارية بمثابة تكتيك استراتيجي للهندسة النفسية مصمم لتقليل مقاومة الضحايا أثناء المفاوضات.

الرؤية: هذا الاختراق يفكك بشكل أساسي الميزة البيعية الفريدة الوحيدة (USP) للمجموعة. في عالم RaaS، تعد السمعة هي العملة الأساسية (والوحيدة). إذا اعتقدت الضحية أن "The Gentleman" لا يمكنها حتى تأمين نظامها الخلفي الخاص، فإن ضمان أن "دفع الفدية يضمن حذف البيانات" يصبح مستحيلاً من الناحية الحسابية. نحن نشهد انخفاضاً كاملاً في قيمة "اتفاقية مستوى الخدمة الإجرامية" (Criminal SLA). وحتى في الحالات التي تبيع فيها مجموعات برامج الفدية البيانات حتى بعد دفع الفدية (كما هو الحال في كثير من الأحيان)، فإن سمعة مجموعة "The Gentleman" قد تضررت بالتأكيد. قد يكون لهذا تأثير على قدرتها على تجنيد أعضاء وشركاء جدد حيث قد يشعر القراصنة أن مجموعة "The Gentleman" قد تكون الآن عرضة لخطر إجراء وشيك لإنفاذ القانون

صناعة الخيانة

في حين يفترض الكثيرون أن هذا كان عبارة عن "اختراق مضاد" ترعاه دولة ما أو عمل عصابة منافسة، تشير الإشارات إلى فشل محلي داخلي. نعم، نحن نشير إلى شريك قديم أو عنصر داخلي مارق داخل المجموعة كفاعل لهذه العملية.

• الإشارة: طبيعة البيانات المسربة بما في ذلك سجلات الدردشة الداخلية ومعرفات الشركاء تشير إلى وجود شريك داخلي أو شريك غير راضٍ.

• النقطة البديهية: نحن ندخل حقبة "صناعة الخيانة". مع توسع مجموعات RaaS، فإنها تضطر إلى تجنيد مهاجمين مبتدئين من المستوى الأدنى (script kiddies) يفتقرون إلى الولاء الأيديولوجي أو المالي للأعضاء الأساسيين. من المرجح أن يكون هذا الاختراق عرضاً لضعف إدارة الموارد البشرية الإجرامية، حيث أدى الافتقار إلى التدقيق والتمحيص إلى تسريب كارثي للأمن التشغيلي للمجموعة (OPSEC). ليس من المستغرب تماماً رؤية هذه المجموعات تعاني من نفس التحديات التشغيلية التي يتعين على المؤسسات التعامل معها بانتظام.  

عدوى "مفتاح فك التشفير"

إذا كان الاختراق يتضمن مفاتيح فك التشفير الرئيسية (كما تشير المؤشرات على اختراق البنية التحتية)، فإننا لا ننظر فقط إلى عصابة واحدة ميتة؛ بل ننظر إلى حدث استرداد بأثر رجعي.

يتحدث معظم المحللين عن أبعاد الوقاية المستقبلية. ومع ذلك، فإن القصة الحقيقية هنا هي الماضي. إذا تم التحقق من صحة هذه المفاتيح، يمكن لمقدمي التأمين وشركات الاستجابة للحوادث (IR) إبطال الأضرار التي لحقت بالضحايا قبل ستة أشهر. وهذا يخلق مسؤولية مالية هائلة على المهاجمين، حيث يتيح للضحايا استعادة قيمتهم "المسروقة" دون دفع سنت واحد.

الهشاشة التقنية للويب المظلم (Dark Web)

يكشف خرق "The Gentleman" عن حقيقة مرة حول العالم السفلي: غالباً ما تكون البنية التحتية الإجرامية هشّة بشكل مفاجئ. تنفق هذه المجموعات الملايين على تطوير حمولات ضارة خفية ولكنها تنفق القليل جداً على وضعها الدفاعي الخاص.

إن حقيقة تعرض موقع التسريب الخاص بهم للاختراق تشير إلى فشل في عزل الحاويات أو مجرد تكوين خاطئ لخدمات TOR المخفية لديهم. وهو ما يثبت أنه على الرغم من كونهم بارعين في التحركات الهجومية الجانبية، فإن "قلعتهم" مبنية أساساً على الرمال أو ربما على الهلام.

الإشارات "الخفية": ماذا سيحدث بعد ذلك؟

• منعكس تغيير العلامة التجارية: لا تتوقع أن تختفي "The Gentleman" في أي وقت قريب. توقع حدثاً يماثل طائر الفينيق "Phoenix". سوف يطوون العلامة التجارية، ويعدلون 20 في المائة من الكود الخاص بهم، ويظهرون مجدداً تحت اسم يوحي بمزيد من الاستقرار وربما شيء يحمل طابعاً "مؤسسياً". أو قد يظلون متخفين ويظهرون فجأة مع اختراق كبير.

• هجرة الشركاء: راقب القياس عن بعد لرصد أي ارتفاع في نشاط المجموعات المنافسة. شركاء "The Gentleman" الذين نزحوا أصبحوا الآن "عملاء أحرار" في سوق تشهد طلباً مرتفعاً. يسبق هذا عادةً موجة هائلة من الهجمات حيث يحاول هؤلاء الفاعلون إثبات جدارتهم "لأصحاب العمل" الجدد.

• عجز الثقة: سيجبر هذا الحادث مشغلي RaaS الآخرين على تنفيذ نموذج "الثقة الصفرية" داخلياً. ويجب أن نتوقع رؤية المزيد من الاتصالات الداخلية المشفرة والبنية التحتية المجزأة من المجموعات الأخرى لمنع حدوث سيناريو خسارة كاملة مماثل.

إن خرق برامج فدية The Gentleman هو بمثابة نهاية لـ "الجريمة النبيلة". وهو بمثابة تذكير بأنه في العالم السفلي الرقمي، لا يوجد نبلاء بل فقط فاعلون يتمتعون بدرجات متفاوتة من التمويه المهني، وجميعهم عرضة في النهاية لنفس الثغرات الأمنية التي يستغلونها في الآخرين.

هل يتماشى هذا التحليل مع الأنماط الاستراتيجية المحددة التي تراها في مشهد التهديدات الحالي لديك، أم يجب علينا الغوص بشكل أعمق في إمكانيات قانونية "الاختراق المضاد"؟ قم بتنزيل نسختك من تقرير مشهد تهديدات أمن التكنولوجيا التشغيلية (OT) من Shieldworkz لعام 2026 من هنا لفهم كامل نطاق التهديدات والمخاطر المحيطة ببيئات التكنولوجيا التشغيلية من هنا.