أظهر بحث حديث أجراه فريق البحث والتحليل العالمي لدى كاسبرسكي (GReAT) أن مجموعة برمجيات الفدية The Gentlemen، طورت أساليبها الهجومية من خلال توظيف أدوات مخصصة جديدة، تتضمن باباً خلفياً يتيح جمع المعلومات قبل نشر برمجيات الفدية والسيطرة على الأجهزة المخترقة، بالإضافة إلى ملف خاص لتنفيذ برمجيات الفدية.
وتواصل المجموعة نشاطها عالمياً مستهدفةً مؤسسات في قطاعات التصنيع، وتقنية المعلومات، والرعاية الصحية، والخدمات المالية، والإنشاءات، والخدمات اللوجستية.
سلّطت كاسبرسكي في أحدث تقاريرها الضوء على أبرز التوجهات في مشهد هجمات برمجيات الفدية، موضحةً استناداً إلى بيانات Kaspersky Security Network أن أمريكا اللاتينية جاءت في صدارة المناطق من حيث نسبة المؤسسات التي اكتُشفت لديها هجمات برمجيات الفدية خلال عام 2025 بنسبة 8.13%، تلتها منطقة آسيا والمحيط الهادئ (7.89%)، ثم إفريقيا (7.62%)، فالشرق الأوسط (7.27%)، ورابطة الدول المستقلة (CIS) بنسبة 5.91%، فيما سجلت أوروبا أدنى نسبة بلغت 3.82%.
تعدّ The Gentlemen مجموعة متسارعة التوسع في مجال برمجيات الفدية كخدمة (RaaS)، ويُظن أنها بدأت نشاطها في منتصف عام 2025. ويعتمد أفراد المجموعة وشركاؤها على استغلال الخدمات المتصلة بالإنترنت وبيانات الاعتماد المخترقة للوصول الأولي إلى أنظمة الضحايا. وتشير التقديرات إلى أنهم قد يتعاونون مع وسطاء الوصول الأولي (IABs) للحصول على منفذ إلى مؤسسات تمتلك ملكية فكرية عالية القيمة دون الحاجة إلى تنفيذ عمليات اختراق معقدة. كما رصدت كاسبرسكي أن بعض عمليات الوصول إلى الأنظمة المستهدفة حدثت قبل وقت طويل من الإصابة ببرمجيات الفدية، باستخدام تقنيات لا تُعد من الأساليب المعتادة للمجموعة، وهو ما قد يدل على أن جهة تهديد أخرى، يُرجح أن تكون وسيط وصول أولي، هي من نفذت عملية الاختراق الأولية.
وتتميز مجموعة The Gentlemen عن كثير من مجموعات برمجيات الفدية كخدمة (RaaS) بمستوى متقدم من التطور التقني، وتستخدم أدوات مخصصة وأساليب اختراق مرنة تتكيف مع طبيعة كل هدف. وقد اكتشف باحثو كاسبرسكي باباً خلفياً جديداً بالكامل، طُوِّر بلغة Go، ونشره المهاجمون قبل يوم واحد من تنفيذ هجوم الفدية. ويجمع هذا الباب الخلفي معلومات عن الجهاز والشبكة، مع إخفاء نافذة التنفيذ لتفادي الرصد. كما يتيح اتصالات ثنائية الاتجاه مع المهاجمين، وتنفيذ أوامر يتحكم فيها الخادم، وإجراء عمليات استطلاع، بما يساعدهم في توسيع عملياتهم وتعديلها داخل الأنظمة المخترقة.
رصدت كاسبرسكي كذلك إصداراً جديداً من برمجيات الفدية، طُوّر باستخدام لغة C، واستُخدم ضد عدد محدود من المؤسسات. وبينما اعتمدت مجموعة The Gentlemen في السابق بشكل أساسي على برمجية فدية مكتوبة بلغة Go ومصممة للعمل عبر منصات متعددة، فإن الإصدار الجديد المكتوب بلغة C يبدو موجهاً خصيصاً لأنظمة ويندوز. ويُظن أن المجموعة تُجري اختبارات على هذه البرمجية داخل البيئات الفعلية للضحايا، في إطار تعزيز قدراتها الهجومية.
ومن بين الأساليب التي استخدمتها مجموعة The Gentlemen في هجماتها محاولة تعطيل حل كاسبرسكي الأمني عبر استخدام أداة kavrmvr.exe، المصممة لإزالة منتجات كاسبرسكي. غير أن حل الحماية واصل عمله دون تأثر، ونجح في رصد هذه المحاولة ومنعها، مع اعتبارها نشاطاً خبيثاً.
وقال فاتح سينسوي، الخبير الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي (GReAT): «مع أن مجموعة The Gentlemen تُعد من المجموعات الحديثة نسبياً في عالم برمجيات الفدية، فإنها تفرض نفسها بسرعة بين المهاجمين، سواء من خلال استقطاب شركاء أو تنفيذ هجمات بارزة. ويكشف اختبارها لمتغيرات جديدة من برمجيات الفدية المكتوبة بلغة C عن جهود مستمرة لتطوير أدواتها ورفع كفاءتها، وهو ما قد ينعكس قريباً في صورة سلاسل هجوم أكثر تطوراً واستقراراً وقابلية للتوسع. ومن هذا المنطلق، يتعين على المؤسسات توقع استمرار هذا النوع من الأنشطة الخبيثة، مع إعطاء الأولوية لإدارة الثغرات الأمنية وتعزيز قوة الأنظمة لتقليل فرص التعرض للاختراق.»
ولتعزيز الحماية من هجمات برمجيات الفدية، توصي كاسبرسكي المؤسسات باتباع الإجراءات التالية:
تحديث جميع البرمجيات باستمرار على مختلف الأجهزة المستخدمة، لتقليل احتمالية استغلال الثغرات الأمنية واختراق الشبكات.
ينبغي أن تركز استراتيجية الحماية على اكتشاف التحركات الجانبية داخل الشبكة ورصد أي محاولات لتسريب البيانات إلى خارج بيئة المؤسسة. ومن المهم بشكل خاص مراقبة حركة البيانات الصادرة لاكتشاف أي اتصالات مشبوهة مع المهاجمين. كذلك يُنصح بإنشاء نسخ احتياطية غير متصلة بالشبكة يصعب على المخترقين الوصول إليها أو تعديلها، مع ضمان إمكانية استرجاعها بسرعة عند الحاجة.
رفع مستوى الحماية عبر اعتماد حلول الحماية من التهديدات المستعصية المتقدمة (anti-APT) وحلول الاكتشاف والاستجابة للنقاط الطرفية (EDR)، التي توفر إمكانيات متقدمة لاكتشاف التهديدات المعقدة، وإجراء التحقيقات الأمنية، والاستجابة السريعة للحوادث.
كما يمكن للمؤسسات تزويد فرق مراكز العمليات الأمنية (SOC) لديها بأحدث معلومات حول استخبارات التهديدات السيبرانية، والعمل على تطوير مهاراتهم بشكل دوري من خلال التدريب المهني. وجميع هذه القدرات متاحة ضمن Kaspersky Next.
المزيد من المعلومات مفصلة في التقرير متوفرة على موقع Securelist.com.
. نبذة عن كاسبرسكي:
