مجموعة “The Gentlemen” تطور إطار GentleKiller لتعطيل 400 عملية أمنية

كشفت شركة ESET أن مجموعة الفدية The Gentlemen، التي تعمل وفق نموذج Ransomware-as-a-Service (RaaS)، طورت إطارًا متكاملًا لتعطيل أنظمة EDR تحت اسم GentleKiller. هذا الإطار يستهدف نحو 400 عملية مرتبطة بـ 48 برنامجًا أمنيًا مختلفًا، ويُسلَّم جاهزًا إلى شركاء المجموعة لتسهيل نشر مشفرات الفدية بعد تعطيل الدفاعات.

سرعة استغلال الثغرات وتقنية BYOVD

المجموعة أظهرت قدرة غير عادية على استغلال ثغرات جديدة بسرعة، خصوصًا عبر تقنية BYOVD (إحضار برنامج تشغيل ضعيف)، حيث تقوم بدمج برامج تشغيل معرضة للهجوم في أدواتها خلال أيام من نشر إثباتات المفهوم.
من بين السائقين المستغلين:

  • Kaspersky (“eb.sys”)
  • FACEIT Anti-Cheat (“nseckrnl.sys”)
  • Valorant (“GameDriverX64.sys”)
  • WatchDog (“dmx.sys”)
  • PoisonX.sys (المستخدم حديثًا لتعطيل CrowdStrike Falcon EDR)
أدوات إضافية من أطراف ثالثة

إلى جانب GentleKiller، تستخدم المجموعة أدوات أخرى مثل:

  • HexKiller (“googleApiUtil64.sys”) المرتبط سابقًا بعصابة Warlock.
  • ThrottleBlood (“ThrottleBlood.sys”) المستخدم من قبل MedusaLocker وDragonForce.
  • HavocKiller (“havoc.sys”).
    هذه الأدوات جميعها تُوحَّد عبر طبقة تنكرية مشتركة، حيث تُقلّد منتجات أمنية معروفة باستخدام أسماء ملفات، شهادات رقمية، وأيقونات مزيفة.
قيادة المجموعة وانتشارها العالمي

منذ ظهورها في مارس 2025، صعدت مجموعة The Gentlemen بسرعة لتصبح من أكثر العصابات نشاطًا، مع تسجيل أكثر من 504 ضحية حتى يونيو 2026، معظمهم في جنوب شرق آسيا وأمريكا الجنوبية وأوروبا الغربية. تقارير صحفية حديثة نسبت قيادة العملية إلى الروسي ألكسندر أندريفيتش ياباييف (المعروف بـ hastalamuerte)، الذي كان سابقًا شريكًا لمجموعات مثل Qilin.

أدوات إضافية وسرقة بيانات الاعتماد

إلى جانب أدوات تعطيل EDR، رصدت ESET أداة جديدة مكتوبة بلغة Rust باسم OxideHarvest، قادرة على سرقة بيانات الاعتماد من متصفحات شهيرة مثل Chrome وEdge وFirefox وOpera وBrave وغيرها. هذا يعزز قدرة المجموعة على جمع بيانات حساسة قبل نشر الفدية.

تحذيرات أمنية وتوصيات

المركز التنسيقي لشهادات الحوادث CERT/CC أصدر تحذيرًا بشأن تطبيقات UEFI موقعة من عدة شركات (Acer، AMD، ASUS، Toshiba وغيرها) يمكن استغلالها لتجاوز Secure Boot عبر هجمات BYOVD. أوصى المركز بتحديث قاعدة بيانات التواقيع المحظورة (DBX) لإبطال الثقة في هذه التطبيقات ومنع تشغيلها أثناء مرحلة الإقلاع المبكر.

محمد طاهر
محمد طاهر
المقالات: 1676

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.