⚡ أبرز النقاط

ادّعت مجموعة الفدية The Gentlemen استهداف نحو 332 ضحية علنية في 5 أشهر من عام 2026 — متجاوزةً وتيرة Akira في عامها الأول — وذلك بمنح الشركاء حصة 90% من الإيرادات، الأعلى في سوق RaaS. يستهدف مشفّرهم متعدد المنصات المكتوب بلغة Go أنظمة Windows وLinux وESXi وأجهزة NAS في آنٍ واحد، مع CVE-2024-55591 (FortiOS) كنقطة دخول رئيسية. كشف تسريب قاعدة البيانات عن نحو 14,700 جهاز FortiGate مخترق مسبقاً في مخزونهم.

الخلاصة: تطبيق تصحيح CVE-2024-55591 في FortiOS فوراً، وتطبيق تقسيم طبقات Active Directory لمنع الانتشار على مستوى النطاق، ونشر DLP على مخارج الشبكة — لأن نموذج الابتزاز المزدوج يعني أن النسخ الاحتياطية وحدها لن تنهي الحادثة.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
متوسطة
تُشغّل المؤسسات الجزائرية بيئات ESXi/NAS وأجهزة FortiGate؛ يؤثّر ناقل الهجوم CVE-2024-55591 على أي تثبيت FortiOS غير مُصحَّح
البنية التحتية جاهزة؟
جزئياً
معظم المؤسسات الجزائرية تفتقر إلى اكتشاف مخصّص لتسريب البيانات وDLP عند مخارج الشبكة؛ عزل النسخ الاحتياطية غير منتظم
الكفاءات متوفّرة؟
جزئياً
خبرة DLP وEDR محدودة في السوق المحلي؛ تقسيم طبقات AD نادراً ما يُطبَّق في بيئات السوق المتوسطة
جدول الإجراءات
فوري
Assessment: فوري. Review the full article for detailed context and recommendations.
أصحاب المصلحة الرئيسيون
المسؤولون عن أمن المعلومات (CISO)، فرق مركز العمليات الأمنية (SOC)، ومديرو تكنولوجيا المعلومات في المؤسسات والهيئات الجزائرية التي تستخدم بنية تحتية قائمة على FortiGate أو ESXi أو NAS
نوع القرار
تكتيكي
Assessment: تكتيكي. Review the full article for detailed context and recommendations.

خلاصة سريعة: ناقل الدخول الرئيسي لـThe Gentlemen — ثغرة في FortiOS صدر لها تصحيح في مطلع 2025 — لا يزال قابلاً للاستغلال في المؤسسات التي لم تُطبّق التحديثات. ينبغي لأي مؤسسة جزائرية تشغّل أجهزة FortiGate أن تتحقق فوراً من حالة التصحيح. وما وراء التصحيح، يعني نموذج الابتزاز المزدوج أن استراتيجيات الاسترداد القائمة على النسخ الاحتياطية وحدها غير كافية: يجب التعامل مع اكتشاف التسريب عند مخارج الشبكة كأولوية مساوية لحماية نقاط النهاية.

إعلان

كيف استقطبت مجموعة فدية ناشئة أفضل المشغّلين في السوق

حين ظهرت مجموعة الفدية The Gentlemen في يوليو 2025 — تحت اسم “ArmCorp” في البداية، بوصفها انشقاقاً عن شبكة شركاء Qilin — لاحظ مجتمع استخبارات التهديدات دخولاً جديداً متوسط المستوى في سوق RaaS المكتظ. ما لم يتوقعه أحد هو السرعة التي ستحوّل بها قرار هيكلي واحد مجموعةً من شركاء Qilin الساخطين إلى ثاني أكثر عملية برامج فدية إنتاجيةً على مستوى العالم.

ذلك القرار كان توزيع الإيرادات بنسبة 90/10.

تتيح برامج RaaS الراسخة — RansomHub وLockBit 3.0 وAkira — للشركاء عادةً ما بين 70% و80% من الفدى المحصّلة. وفقاً لتقييم التهديدات الصادر عن Halcyon بشأن The Gentlemen، كان RansomHub هو المجموعة الوحيدة التي سبق أن وصلت إلى نسبة 90% لصالح الشركاء. بالنسبة لمشغّل نجح في ابتزاز فدية بقيمة 250,000 دولار — وهي مفاوضة موثّقة لصالح The Gentlemen سُوّيت بمبلغ 190,000 دولار — يمثّل الفارق بين حصة 80% وحصة 90% مبلغ 19,000 دولار لكل صفقة. وعلى نطاق واسع، يُشكّل هذا الفارق آلة استقطاب فعّالة.

الحسابات مُقنعة. يبدو مجمع شركاء The Gentlemen محدوداً لكنه ذو خبرة عالية: وثّق تحليل Group-IB لعمليات المجموعة فريقاً محدوداً من المشغّلين المُسمّين وحفنة من معرّفات Tox المميّزة للشركاء، جميعهم منظّمون حول هوية مدير واحدة. فرق صغيرة، وهوامش مرتفعة، وأدوات مشتركة — وفلسفة تقوم على أن الحدّ الأقصى من التعويض للشركاء يستقطب الحدّ الأقصى من المواهب المتاحة.

بحلول يناير 2026، كانت المجموعة تدّعي 48 هجوماً شهرياً. وفي فبراير، ارتفع العدد إلى 91 هجوماً. وتيرة نمو تُضاهي مرحلة التوسّع المبكرة لـLockBit 3.0، وذلك من فريق لم يظهر إلا قبل ستة أشهر فحسب.

الاقتصاد الذي غيّر سوق برامج الفدية

نموذج 90/10 ليس مجرد خيار تعويضي — بل هو استراتيجية استقطاب مواهب تحدّد مباشرةً جودة استهداف الضحايا. حين يحتفظ الشركاء بحصة أكبر، يستثمرون أكثر في الاستهداف عالي القيمة والوصول المبدئي المتطوّر.

يُجسّد شركاء The Gentlemen هذا النهج في أدواتهم. اكتشف تحليل Microsoft Security Blog التقني مشفِّراً مكتوباً بلغة Go يُطبّق 21 أسلوب تنفيذ عن بُعد مختلفاً لكل هدف خلال مرحلة الانتشار الذاتي — PsExec وWMIC والمهام المجدولة وPowerShell WinRM وPowerShell WMI — مغطّياً تقريباً كل مسار تنفيذ عن بُعد متاح في نطاق Windows. هذا ليس من عمل المشغّلين المبتدئين؛ بل هو ناتج محترفين متمرّسين في برامج الفدية اختاروا الانضمام إلى The Gentlemen تحديداً لأنها تدفع أكثر.

يُفسّر النموذج المالي أيضاً سمة مميّزة أخرى: الانتشار الجغرافي. وجد تحليل Halcyon أن 7% فقط من الضحايا كانوا مقيمين في الولايات المتحدة — وهو رقم منخفض بشكل غير معتاد بالنسبة لعمليات برامج الفدية التي تركّز عادةً على الأهداف الأمريكية نظراً لسقوف فدية أعلى. وكانت تايلاند أكثر دولة مستهدفة (27 ضحية)، مع توزيع الهجمات عبر 66 دولة و20 قطاعاً صناعياً تشمل خدمات تكنولوجيا المعلومات والبناء والتصنيع والخدمات المالية والرعاية الصحية. الشركاء الساعون إلى الحجم — لا إلى أهداف فردية عالية القيمة فحسب — يستغلّون نموذج 90% في أي منطقة جغرافية تتيح الوصول.

الأساس الذي يدعم هذا الاقتصاد هو نهج الابتزاز المزدوج. يُسرّب الشركاء البيانات قبل تشفيرها، مُوجِدين نقطتي ضغط مستقلّتين: الاستعادة أو الدفع مقابل نشر البيانات أو الدفع. حتى في البيئات التي تكون فيها البنية التحتية للنسخ الاحتياطية سليمة والاسترداد ممكناً، تبقى محادثات الفدية حيّةً بسبب احتمال نشر البيانات الحساسة. هذا هو ضغط “سرقة البيانات بلا تشفير” الذي تمارسه المجموعة: يمكن للتسريب وحده أن يُفضي إلى دفع الفدية حتى عند فشل التشفير.

إعلان

التغطية متعددة المنصات: لماذا ESXi وNAS هما الخطر الحرج

قاعدة الكود متعددة المنصات للمجموعة — مشفِّر Go لأنظمة Windows وLinux، ومُقفِّل بلغة C خصيصاً لـESXi — مُصمَّمة للبنية التحتية للمؤسسات. المنطق الاستهدافي مقصود: اخترق هايبرفايزر ESXi واحداً وقد تُشفّر عشرات الأجهزة الافتراضية في آنٍ واحد. اخترق جهاز NAS وتُزيل البيانات الأساسية ونسخ النسخ الاحتياطية معاً في عملية واحدة.

تُضيف الحمولة الخاصة بـESXi ثباتاً دائماً عند الإقلاع وتهاجم عناقيد VMware vSAN في آنٍ واحد. قبل التشفير، تُوقف الأجهزة الافتراضية بشكل منظّم قبل إجبارها على الإغلاق، وتُفرّغ مخازن ذاكرة التخزين المؤقت، وتُعطّل الاسترداد التلقائي — تاركةً المسؤولين بلا مسار استعادة صالح من طبقة الهايبرفايزر.

أما في بيئات Windows، فقائمة التحقق قبل التشفير لا تقل دقةً: تعطيل المراقبة الفورية لـMicrosoft Defender، وحذف النسخ الاحتياطية Shadow Copies عبر vssadmin وWMIC، ومسح سجلات أحداث النظام والتطبيق والأمان، وإزالة ملفات الاسترداد السريع وسجلات RDP، وإنهاء أكثر من 40 عملية تشمل SQL Server وOracle وMySQL وبرامج النسخ الاحتياطي وعملاء EDR وتطبيقات Office. بحلول لحظة بدء التشفير، تكون البيئة معزولة عن دفاعاتها وأدوات استردادها على حدٍّ سواء.

يرتكز الوصول المبدئي على CVE-2024-55591، وهو ثغرة تجاوز المصادقة الحرجة في FortiOS/FortiProxy. وجد التحليل الجنائي لـGroup-IB أن المشغّلين يحتفظون بقائمة تضم نحو 14,700 جهاز FortiGate مخترق مسبقاً على مستوى العالم، مدعومةً بنحو 1,000 بيانات اعتماد VPN لـFortiGate تم الحصول عليها بالقوة. قد تكون مؤسسة تمتلك جهاز FortiGate عُرضةً للثغرة ومكشوفاً على الإنترنت موجودةً بالفعل في تلك القائمة — في انتظار أن يُفعّل الشريك المناسب هذا الوصول.

بمجرد الدخول، يستخدم التحرك الجانبي اختطاف سياسة مجموعة Active Directory لتفجير الحمولة على مستوى النطاق بأكمله في آنٍ واحد. الجدول الزمني من الهجوم إلى التشفير يُقاس بالساعات.

ما يجب على فرق أمن المؤسسات فعله

يستغل نموذج The Gentlemen ثلاثة أنماط فشل متوقّعة: الأجهزة الطرفية المكشوفة، وبيئات Active Directory المسطّحة، والاكتشاف غير الكافي للتسريب. لكلٍّ منها مسار تخفيف ملموس.

1. التصحيح والعزل الفوري للأجهزة الطرفية المواجهة للإنترنت

CVE-2024-55591 (تجاوز مصادقة FortiOS/FortiProxy) هو ناقل الوصول المبدئي الموثّق الرئيسي. أي مؤسسة تشغّل FortiGate أو FortiProxy أو أجهزة طرفية مماثلة دون تطبيق التصحيحات المتاحة تُعدّ مرشّحة للقائمة المبنيّة مسبقاً لـThe Gentlemen. يجب معاملة دورة تصحيح الأجهزة الشبكية المواجهة للإنترنت كحدث من المستوى الأول — لا نافذة صيانة مجدولة. بالتوازي مع ذلك، افصل واجهات الإدارة على شبكات OOB (out-of-band) معزولة لا يمكن الوصول إليها من الإنترنت. إذا كانت إدارة الأجهزة الطرفية عن بُعد تستلزم إمكانية الوصول عبر الإنترنت، فهذه مشكلة بنية شبكة، وليست مشكلة إعداد.

2. تطبيق تقسيم طبقات AD ومراقبة تغييرات GPO لمنع التفجير على مستوى النطاق

يُعدّ اختطاف سياسة المجموعة على مستوى النطاق الخطوةَ التصعيدية التي تحوّل اختراق جهاز واحد إلى حدث تشفير مؤسسي شامل. لا يستطيع شركاء The Gentlemen تنفيذ هذه الخطوة إلا إذا وصلوا إلى Domain Controller — وهو ما يتحقق عادةً عبر بيئات Active Directory مسطّحة دون فصل بين الطبقات. طبّق تقسيم AD (الطبقات 0/1/2) بحيث لا يمنح اختراق محطة عمل أو خادم متوسط الصلاحيات وصولاً مباشراً إلى بيانات اعتماد Domain Controller. راقب إنشاء GPO وتعديلها دون إذن باستخدام Microsoft Advanced Threat Analytics أو Defender for Identity أو قواعد SIEM تُنبّه على أي تغيير في GPO لا ينشأ من حسابات مسؤولين معتمدة. أي تغيير غير مصرّح به في GPO هو إشارة حادثة بالغة الخطورة — تعامل معه باعتباره اختراقاً كاملاً قيد التنفيذ.

3. نشر DLP ومراقبة التسريب قبل انطلاق التشفير

يعني نموذج الابتزاز المزدوج لـThe Gentlemen أن الاسترداد الناجح من التشفير لا يُغلق الحادثة. إذا جرى تسريب البيانات قبل تشغيل المشفِّر — ويؤكد التحليل الجنائي لـHuntress أن المدافعين غالباً ما يعجزون عن اكتشاف الحد الفاصل بين مرحلتَي التسريب والتشفير — تواجه المؤسسة تهديدات نشر مستمرة. انشر منع فقدان البيانات (DLP) عند نقاط خروج الشبكة، مُعدّاً للتنبيه على حجوم كبيرة من حركة المرور الصادرة المشفّرة إلى وجهات غير مدرجة، وعلى إعداد غير معتاد لملفات بكميات كبيرة في المجلدات المؤقتة، وعلى أنماط وصول شاذة إلى خوادم الملفات أو أجهزة NAS خارج ساعات العمل. مرحلة التسريب أبطأ وأكثر ضجيجاً من التشفير — إنها نافذة الاكتشاف التي تُفوّتها معظم المؤسسات.

4. اختبار عزل النسخ الاحتياطية والاسترداد قبل وقوع حادثة

قائمة التحقق قبل التشفير — حذف Shadow Copies، واستهداف NAS، وإزالة لقطات VMware — مُصمَّمة للقضاء على كل مسار استرداد متاح في بيئة مؤسسية افتراضية. اختبر استعادة النسخ الاحتياطية من نسخ غير متصلة بالشبكة أو معزولة هوائياً كل ربع سنة. تحقق من عدم إمكانية الوصول إلى واجهات إدارة النسخ الاحتياطية من شبكات الإنتاج. تتطلب بيئات ESXi على وجه الخصوص سياسات لقطات على مستوى الهايبرفايزر لا يمكن الوصول إليها عبر بيانات الاعتماد ذاتها المستخدمة لإدارة الأجهزة الافتراضية.

الصورة الأشمل: حين يُحرّك اقتصاد الشركاء سرعة التهديد

صعود The Gentlemen هو دراسة حالة في ما يحدث حين يصل اقتصاد RaaS إلى حدّه المنطقي الأقصى. توزيع 90/10 لا يستقطب الشركاء فحسب — بل يستقطب شركاء سبق أن عملوا داخل برامج منافسة، ويحملون معرفة مؤسسية بالشبكات، ويجلبون معهم أدوات مبنيّة مسبقاً وقوائم وصول. كل منشق عن RansomHub أو Qilin أو LockBit ينضم إلى The Gentlemen يجلب وصولاً إلى ضحايا حاليين ومنهجية هجوم مطوّرة.

لهذا السبب تكون منحنى النمو عمودياً لا تدريجياً. لم تبنِ The Gentlemen قدراتها من الصفر — بل اشترتها بعلاوة 10% على سعر السوق.

بالنسبة لفرق أمن المؤسسات، الدرس الهيكلي هو التالي: يعمل سوق برامج الفدية الآن بانضباط سوق المواهب التنافسي. المجموعات التي تُقدّم اقتصاداً أفضل تستقطب مشغّلين أفضل. المشغّلون الأفضل يُنفّذون بسرعة أكبر، وبشكل أكثر اكتمالاً، وضد أهداف أصعب. سرعة التهديد التي عاشتها المؤسسات مع LockBit في ذروته باتت الآن المعيار القياسي لأي مجموعة جديدة مستعدة لتعويض شركائها بشكل ملائم.

الوضع الدفاعي المطلوب ليس دورة تصحيح تفاعلية. بل هو افتراض عدائي مستمر — التعامل مع اختراق الأجهزة الطرفية باعتباره محتملاً، وحماية وصول Domain Controller بوصفه الحدّ الفاصل الحرج، واعتبار اكتشاف التسريب النافذةَ الأخيرة قبل أن تصبح الحادثة خارج السيطرة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

لماذا تُعدّ حصة الشركاء 90/10 في The Gentlemen ذات أهمية للمدافعين عن المؤسسات؟

تستقطب حصة الإيرادات البالغة 90% للشركاء مشغّلين متمرّسين في برامج الفدية سبق أن عملوا مع مجموعات منافسة كـQilin وLockBit وRansomHub. هؤلاء ليسوا مهاجمين مبتدئين — بل يجلبون أدوات مبنيّة مسبقاً وقوائم وصول إلى الشبكات وأساليب مُصقَّلة لتجاوز دفاعات المؤسسات. التعويض الأعلى للشركاء يُترجَم مباشرةً إلى جودة مشغّلين أعلى وهجمات أسرع وأكثر اكتمالاً.

هل يمكن للمؤسسات الاسترداد عبر استعادة النسخ الاحتياطية إذا ضربها ransomware الـThe Gentlemen؟

ليس بشكل موثوق. تُزيل روتين The Gentlemen قبل التشفير تحديداً Volume Shadow Copies ولقطات VMware وأهداف النسخ الاحتياطي على NAS وأي عمليات برامج نسخ احتياطية تعمل على الشبكة. والأهم من ذلك، أن نموذج الابتزاز المزدوج يعني أن الشركاء يُسرّبون البيانات الحساسة قبل تشفيرها — لذا حتى الاسترداد الكامل والناجح من التشفير يُبقي المؤسسات في مواجهة تهديد نشر بيانات لا تستطيع النسخ الاحتياطية معالجته.

ما هو الإجراء الدفاعي الأكثر فعاليةً ضد ناقل الوصول المبدئي لـThe Gentlemen؟

تصحيح CVE-2024-55591 في FortiOS/FortiProxy وعزل واجهات إدارة FortiGate عن التعرّض للإنترنت. يحتفظ مشغّلو The Gentlemen بقائمة تضم نحو 14,700 جهاز FortiGate مخترق مسبقاً — قد تكون المؤسسة التي تمتلك FortiGate غير مُصحَّح ومكشوفاً على الإنترنت موجودةً بالفعل في تلك القائمة. وما وراء التصحيح، توفّر مراقبة التغييرات غير المصرّح بها في سياسة مجموعة Active Directory إنذاراً مبكراً قبل تفجير الحمولة على مستوى النطاق.

المصادر والقراءات الإضافية