أظهرت أبحاث جديدة أن مشغلي عملية الفدية The Gentlemen RaaS استخدموا برمجية الوكيل المعروفة SystemBC، ما أدى إلى اكتشاف شبكة بوت نت تضم أكثر من 1,570 ضحية حول العالم. هذا الاكتشاف، الذي نشرته شركة Check Point، يسلط الضوء على حجم العملية الذي يفوق بكثير ما كان معلنًا سابقًا.
دور SystemBC في الهجمات
يعمل SystemBC على إنشاء أنفاق شبكة SOCKS5 داخل بيئة الضحية، ويتصل بخادم التحكم والسيطرة عبر بروتوكول مشفر بـ RC4. كما يمكنه تنزيل وتنفيذ برمجيات إضافية، سواء بكتابتها على القرص أو بحقنها مباشرة في الذاكرة. هذا يجعله أداة متعددة الاستخدامات في سلسلة الهجوم، حيث يُستخدم في التحرك الأفقي، إخفاء النشاط، وتسهيل نشر برمجيات الفدية.
تكتيكات مجموعة The Gentlemen
منذ ظهورها في يوليو 2025، أثبتت مجموعة The Gentlemen أنها واحدة من أكثر مجموعات الفدية نشاطًا، حيث أعلنت عن أكثر من 320 ضحية على موقع تسريب البيانات الخاص بها. تعمل المجموعة وفق نموذج الابتزاز المزدوج، وتستهدف أنظمة متعددة تشمل Windows وLinux وNAS وBSD باستخدام مشفر مكتوب بلغة Go، إضافة إلى استغلال برامج تشغيل شرعية وأدوات خبيثة مخصصة لتجاوز الدفاعات.
تشير الأدلة إلى أن الوصول الأولي يتم غالبًا عبر خدمات مكشوفة على الإنترنت أو بيانات اعتماد مسروقة، ثم يتبع ذلك مراحل الاستكشاف، التحرك الأفقي، تجهيز الحمولة (مثل Cobalt Strike وSystemBC)، تعطيل الدفاعات، وأخيرًا نشر الفدية. ومن أبرز أساليبهم استغلال Group Policy Objects (GPOs) لتحقيق اختراق شامل للنطاق.
حجم الضحايا وانتشار عالمي
التحقيقات الأخيرة أظهرت أن خادم C2 المرتبط بـ SystemBC استولى على مئات الضحايا في دول مختلفة، منها الولايات المتحدة، المملكة المتحدة، ألمانيا، أستراليا، ورومانيا. هذا الرقم يعكس أن حجم العملية أكبر بكثير مما ظهر في الأخبار، وأنها ما تزال في توسع مستمر.
اتجاهات أوسع في مشهد الفدية
تزامن هذا الاكتشاف مع ظهور عائلات جديدة مثل Kyber، التي تستهدف أنظمة Windows وVMware ESXi باستخدام مشفرات مكتوبة بـ Rust وC++. كما أظهرت بيانات شركة ZeroFox أن الربع الأول من عام 2026 شهد أكثر من 2,059 حادثة فدية وابتزاز رقمي، منها 747 حادثة في مارس وحده، مع نشاط بارز لمجموعات مثل Qilin وAkira وThe Gentlemen.
تقرير شركة Halcyon حول تطور الفدية لعام 2025 أشار إلى أن الهجمات أصبحت أكثر انضباطًا وتوجهًا تجاريًا، مع اعتماد تقنيات مثل BYOVD لتعطيل أدوات الحماية، واستهداف متزايد للشركات الصغيرة والمتوسطة وبيئات التكنولوجيا التشغيلية (OT). كما أن زمن بقاء المهاجمين داخل الشبكات تقلص من أيام إلى ساعات، مع تنفيذ معظم الهجمات ليلًا وعطلات نهاية الأسبوع لتجاوز استجابة المدافعين.
