⚡ أبرز النقاط

رصد فريق Check Point Research أكثر من 1570 ضحية من المؤسسات مرتبطة بمجموعة RaaS The Gentlemen — ما يقارب 5 أضعاف ضحاياهم الـ 332 المعلنين — عبر تحليل بنية C2 الخاصة بـ SystemBC. في 4 مايو 2026، تعرض المجموعة لاختراق داخلي كشف عن قاعدة بيانات بحجم 16.22 غيغابايت تحتوي على بيانات اعتماد المشغلين وهويات الشركاء والسجلات المالية. ثلاث ثغرات يجري استغلالها بنشاط: CVE-2024-55591 وCVE-2025-32433 وCVE-2025-33073.

الخلاصة: **خلاصة سريعة:** رقّع الأجهزة الطرفية المكشوفة خلال 72 ساعة وابدأ فوراً بالبحث عن مؤشرات SystemBC في بيانات EDR من آخر 90 يوماً.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالية
تعتمد المؤسسات الجزائرية على نفس البنية الطرفية (FortiGate، شبكات VPN من Cisco) وتكوينات AD التي تستغلها The Gentlemen؛ نسبة الضحايا المخفيين 4.7 مرة ظاهرة عالمية
البنية التحتية جاهزة؟
جزئية
تنتشر أجهزة FortiGate وCisco في المؤسسات وشركات الاتصالات الجزائرية، لكن خلاصات استخبارات التهديدات المركزية ومراقبة بيانات C2 ليست ممارسة معيارية بعد
المهارات متوفرة؟
جزئية
توفر ASSI (الوكالة الوطنية لأمن المعلومات) وDZ-CERT طاقة استجابة على المستوى الوطني، لكن صائدي التهديدات على مستوى المؤسسات بخبرة TTPs لـ RaaS لا يزالون نادرين
الجدول الزمني للعمل
فوري
ينبغي تطبيق إصلاحات CVE-2024-55591 وCVE-2025-32433 خلال 72 ساعة؛ بدء عملية البحث عن IOC هذا الأسبوع
أصحاب المصلحة الرئيسيون
المسؤولون عن أمن المعلومات وفرق أمن تقنية المعلومات في البنوك وشركات الاتصالات والمؤسسات الحكومية وكبار المصنّعين الجزائريين
نوع القرار
تكتيكي
Assessment: تكتيكي. Review the full article for detailed context and recommendations.

خلاصة سريعة: المؤسسات الجزائرية التي تشغّل أجهزة FortiGate أو Cisco غير مُرقَّعة تواجه تعرضاً مباشراً لدليل تشغيل الوصول الأولي الموثق لـ The Gentlemen. طبّق الإصلاحات خلال 72 ساعة وابدأ عملية البحث عن IOC في بيانات EDR من آخر 90 يوماً هذا الأسبوع؛ تنسّق مع ASSI أو DZ-CERT في حال الكشف عن مؤشرات SystemBC.

إعلان

الفجوة بين أعداد الضحايا العلنيين والمخفيين

حين تنشر عصابة برامج فدية ضحاياها على موقع تسريب بياناتها، لا يعكس هذا الرقم الصورة الكاملة أبداً. بالنسبة لـ The Gentlemen — التي حددها فريق Check Point Research بوصفها ثاني أكثر عمليات Ransomware-as-a-Service إنتاجيةً في مطلع 2026 — الفجوة صارخة: 332 ضحية مسماة علنياً مقابل أكثر من 1570 مؤسسة تم التعرف عليها عبر تحليل بنية تحتية لخوادم القيادة والسيطرة SystemBC.

هذا التفاوت بمعدل 4.7 مرة بين التصريحات العلنية والبيانات الفعلية ليس خطأً في التقريب. إنه يعكس موقفاً تشغيلياً متعمداً. الضحايا الذين يدفعون بصمت، والذين لا يزالون في مرحلة التفاوض، وأولئك الذين ستُفضي صناعتهم إلى تبعات تنظيمية في حالة الإفصاح — جميعهم يُبقَون خارج موقع التسريب بصورة ممنهجة. السبيل الوحيد لاكتشافهم هو الصعود إلى المنبع — إلى بنية C2 التحتية التي تستمر بعد وصول طلب الفدية بفترة طويلة.

يُرسل SystemBC، البرنامج الخبيث الوكيل الذي تستخدمه The Gentlemen كقناة C2 رئيسية، إشارات دورية مستمرة بمجرد نشره على شبكة مخترقة. يترك هذا التدفق أثراً جنائياً دائماً. من خلال رسم خريطة طوبولوجيا C2 للشبكة، تمكّن فريق Check Point Research من ربط بيانات الضحايا التي اعتبرها مشغلو المجموعة أنفسهم مخفية. والنتيجة واحدة من أشمل الصور لنطاق عمل مجموعة RaaS الفعلي المنشورة حتى الآن في 2026.

بالنسبة للمدافعين في المؤسسات، يُدخل هذا الاكتشاف احتمالاً مزعجاً: قد تظهر مؤسستك بالفعل في لوحة تحكم مشغل برامج فدية دون علمك. موقع تسريب البيانات العلني ليس إشارة موثوقة لمعرفة ما إذا كنت قد تعرضت للاستهداف.

كيف بنت The Gentlemen عمليتها

أطلقت The Gentlemen عملية Ransomware-as-a-Service في مطلع 2026 وحققت المرتبة الثانية من حيث الإنتاجية في غضون خمسة أشهر. معمارهم التشغيلي متطور ومتعدد الطبقات، مبني حول تسعة حسابات للمشغلين الأساسيين وهيكل دفع للشركاء يخصص 90% من الفديات للشركاء و10% للمشغل المركزي — نسبة تقع في الطرف السخي من طيف RaaS، مما يفسر التجنيد السريع للشركاء.

تتمحور أساليب الوصول الأولي حول ثلاثة ناقلات تقلل منها فرق المؤسسات بشكل متكرر:

  • الأجهزة الطرفية المكشوفة: جدران الحماية FortiGate وأجهزة Cisco مع واجهات إدارة غير مُرقَّعة، ولا سيما CVE-2024-55591 في FortiOS وCVE-2025-32433 في Erlang SSH
  • هجمات القوة الغاشمة على بيانات الاعتماد: استهداف منهجي لألواح VPN وبوابات إدارة الويب عبر ماسحات المنافذ بما فيها gogo.exe
  • هجمات نقل NTLM: استغلال CVE-2025-33073 للتصعيد الجانبي للامتيازات بعد الوصول الأولي؛ المتخصص “qbit” في المجموعة مكلف تحديداً بالاستطلاع وهجمات نقل NTLM

بمجرد الدخول، يُظهر المشغلون معرفة قوية بـ Active Directory. يحتفظ الشريك “quant” بأداة مخصصة تُدعى buildx641 خصيصاً لجمع بيانات الاعتماد من سجلات مصادقة OWA وMicrosoft 365. يستهدف النشاط ما بعد الاختراق باستمرار أجهزة NAS وأنظمة النسخ الاحتياطي وبنية الافتراضية قبل نشر برنامج الفدية — تسلسل مصمم لتعظيم قدرة التأثير بتدمير خيارات الاسترداد أولاً.

مجموعة أدوات التهرب من EDR لديهم واسعة. تُستخدم أدوات باسم EDRStartupHinder وgfreeze وglinker لتعطيل أو الالتفاف على الكشف عن نقاط النهاية. يُعالَج Event Tracing for Windows (ETW) بنشاط لإعمى خطوط أنابيب التسجيل، وتُستغل سجل الويندوز لإنشاء ثبات عبر عمليات إعادة التشغيل.

عنصر تكتيكي لافت للنظر: تنتهج The Gentlemen استراتيجيات “ضغط مزدوج” متعمدة تُحوّل علاقات الضحايا إلى سلاح. في حالة موثقة، أُعيد استخدام بيانات مسروقة من شركة استشارات برمجيات بريطانية كرافعة للوصول الأولي ضد شركة تركية — ثم نُشرت الشركة التركية على موقع التسريب مع الإشارة إلى الشركة البريطانية باعتبارها “وسيطة وصول”. هذا مصمم لإثارة ضغط قانوني على الشركة الاستشارية، مما يخلق قناة إكراهية ثانوية.

إعلان

ما يكشفه الاختراق الداخلي عن المخاطر التشغيلية لـ RaaS

في 4 مايو 2026، اخترقت البنية التحتية الخاصة بـ The Gentlemen. قام حساب تعريفه “n7778” بتسريب قاعدة البيانات الخلفية “Rocket” للمجموعة وعرض مجموعة البيانات الكاملة — نحو 16.22 غيغابايت — مقابل 10,000 دولار بعملة Bitcoin. نُشر تسريب جزئي بحجم 44.4 ميغابايت دليلاً على الوصول.

تشمل البيانات المكشوفة حسابات المشغلين التسعة الأساسيين (بما فيها بيانات اعتماد المسؤول للحساب “zeta88/hastalamuerte”)، وثمانية معرفات TOX للتواصل يستخدمها الشركاء، وسجلات المعاملات الموثقة لمدفوعات الفدية. مثال فدية تم الكشف عنه: 190,000 دولار تم تحصيلها بعد خصم 60,000 دولار من الطلب الأولي — رقم يوضح سرعة التفاوض وسبب استدامة الحوافز المالية للنظام البيئي.

بالنسبة للمدافعين، هذا الاختراق الداخلي يُشكّل استخباراتٍ لا مجرد أخبار. البيانات المسرّبة تحتوي على:

  • TOX IDs الكاملة للشركاء: ثمانية معرفات Tox مستقلة باتت معروفة لمزودي استخبارات التهديدات، مما يتيح إسناداً محسّناً وربما اتخاذ إجراءات من قبل جهات إنفاذ القانون
  • توقيعات الأدوات: مجموعة أدوات المشغلين — ZeroPulse وVelociraptor وأنفاق Cloudflare Zero Trust وNetExec وRelayKing-Depth وPrivHound وCertiHound وTaskHound — موثقة بالكامل الآن
  • أساليب غسيل Bitcoin: استخدم الأعضاء تحويلات QR عبر Tinkoff وترتيبات OTC للمضاربة من نظير إلى نظير ومحافظ غير حضانية (Guarda وTrust Wallet وExodus) لتحريك الأموال

ثمة أيضاً درس تشغيلي أشمل هنا. اتبع اختراق The Gentlemen نمطاً معروفاً: تهديد داخلي من شريك أو حساب مشغل منخفض الثقة. مجموعات RaaS هشة بطبيعتها لأنها تعتمد على علاقات ثقة مع شركاء مجهولي الهوية ولاؤهم مالي بحت.

ما يجب على فرق الأمن القيام به

يخلق توليف بين الحجم المخفي للبيانات والكشف التشغيلي الكامل من تسريب 4 مايو نافذةً زمنية محدودة للمؤسسات للتصرف باستخبارات عالية الدقة. التوصيات التالية تُرتب الأولويات وفق TTPs موثقة لـ The Gentlemen مباشرةً.

1. مراجعة وترقيع جميع البنية التحتية الطرفية المكشوفة على الإنترنت خلال 72 ساعة

CVEs الثلاثة الرئيسية لـ The Gentlemen — CVE-2024-55591 (واجهة إدارة FortiOS) وCVE-2025-32433 (Erlang SSH في بيئات Cisco) وCVE-2025-33073 (نقل NTLM) — جميعها متاح لها إصلاحات. نافذة 72 ساعة ليست تعسفية: يُظهر تحليل Check Point Research أن متخصصي الوصول الأولي مثل “qbit” يفحصون الأجهزة غير المُرقَّعة بنشاط ويمكنهم الانتقال من الفحص إلى الوصول الأولي في أقل من 24 ساعة على أجهزة FortiGate المكشوفة. تحقق من أن واجهات الإدارة غير متاحة من الإنترنت العام بغض النظر عن حالة التصحيح. لوحات إدارة FortiGate المكشوفة على المنفذ 8443 لا تزال متاحة على أكثر من 60,000 جهاز مكشوف على الإنترنت عالمياً في منتصف 2026.

2. البحث عن SystemBC وطقم التواقيع الكامل لـ The Gentlemen الآن

تمنح البيانات التشغيلية المسرّبة المدافعين مجموعة بحث كاملة. قائمة IOC المنشورة من Check Point Research تتضمن 30 تجزئة SHA256 لـ Windows و3 تجزئات SHA256 لـ Linux وقاعدة YARA تستهدف برامج الفدية المبنية على Go بسلاسل README-GENTLEMEN.txt وgentlemen.bmp. أدرج جميع التجزئات الـ 33 في EDR بأثر رجعي — استعلم عن بيانات التسعين يوماً الأخيرة. بعيداً عن حمولة الفدية نفسها، ابحث عن مجموعة أدوات المشغلين: NetExec وVelociraptor (عند النشر خارج جردك المعتمد) وRelayKing-Depth وPrivHound وCertiHound وgogo.exe وKslDump. وجود أداتين أو أكثر منها في البيئة نفسها مؤشر قوي على مراحل ما قبل نشر الفدية.

3. سد مسارات نقل NTLM وحماية خطوط أنابيب تسجيل ETW

تستغل The Gentlemen باستمرار نقل NTLM (CVE-2025-33073) للحركة الجانبية بعد الوصول، وتعتمد في تهرب EDR على التلاعب بـ ETW لإعمى التسجيل قبل الانتشار الجانبي. هذان نقطتا اختناق منفصلتان لكنهما متتاليتان. طبّق توقيع SMB عبر البيئة لكسر سلاسل النقل. راجع Active Directory بحثاً عن تكوينات تفويض تتيح التفويض Kerberos غير المقيد. لحماية ETW، انشر Sysmon أو ما يعادله مع إمكانات التنبيه عند التلاعب، ووجّه سجلات ETW إلى جامع SIEM خارج النطاق لا يمكن تعطيله عبر تغييرات السجل المحلية. أدوات gfreeze وglinker الخاصة بالمجموعة تتلاعب بمعالجات العمليات لتعليق عمليات EDR.

4. تطبيق عزل النسخ الاحتياطية والافتراضية قبل نشر الفدية

يستهدف تسلسل ما قبل التشفير لـ The Gentlemen باستمرار أجهزة NAS وأجهزة النسخ الاحتياطي وهايبرفايزورات الافتراضية (تكوينات Veeam وواجهات iDRAC موثقة تحديداً). الهدف هو إزالة خيارات الاسترداد قبل طلب الفدية. قسّم بنية النسخ الاحتياطي خلف VLAN مخصص دون مسار مباشر من محطات عمل أو خوادم المؤسسة. اشترط مصادقة خارج النطاق لتعديل مهام النسخ الاحتياطي. اختبر استعادة النسخ الاحتياطية كل 30 يوماً — النسخة الاحتياطية غير المُستعادة نسخة احتياطية مجهولة الموثوقية.

الصورة الأشمل: ما يعنيه فارق 4.7 مرة لقياس المخاطر المؤسسية

المشكلة الجوهرية التي تكشف عنها بيانات The Gentlemen ليست حكراً على هذه المجموعة. عبر النظم البيئية الكبرى لـ RaaS، تتراوح نسبة الضحايا الفعليين إلى المُعلن عنهم باستمرار بين 3x و6x. تستخدم المؤسسات رصد مواقع تسريب البيانات العامة كبديل عن قياس تعرضها لبرامج الفدية — لكن هذه الطبقة لا تكشف إلا عن تلك الضحايا التي قرر المشغلون أن الإفصاح عنهم يخدم استراتيجية الضغط.

نماذج قياس المخاطر المؤسسية التي تعتمد على “عدد الشركات في قطاعي المدرجة على مواقع تسريب برامج الفدية” تُقلل إذن بشكل منهجي من التعرض الفعلي للقطاع بمعامل 3 إلى 6. بالنسبة لاكتتاب التأمين والتقارير على مستوى مجلس الإدارة واستبيانات أمن المشتريات، هذه فجوة جوهرية.

الاستجابة المناسبة ليست وقف مراقبة مواقع التسريب — تلك الاستخبارات لا تزال ذات قيمة. الاستجابة هي إكمالها بتتبع بنية C2 عبر منصات استخبارات التهديدات التي ترسم خريطة بيانات الشبكات في الوقت الفعلي.

كذلك يُذكّر اختراق The Gentlemen في 4 مايو بأن مجموعات RaaS ليست خصوماً متماسكين. إنها شبكات شركاء منسقة بشكل فضفاض مع ثقة مجهولة الهوية وحوافز مالية قابلة للانقلاب وممارسات أمان تشغيلية أضعف في أغلب الأحيان من ضحاياهم.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

ما هو SystemBC ولماذا يهم في اكتشاف برامج الفدية؟

SystemBC هو برنامج خبيث وكيل وأداة وصول عن بُعد تستخدمه مجموعات برامج فدية متعددة كقناة قيادة وسيطرة رئيسية. يُنفق حركة C2 عبر وكلاء SOCKS5 للتهرب من الكشف الشبكي القياسي. بالنسبة لـ The Gentlemen تحديداً، يُنشئ SystemBC اتصالات إشارة مستمرة إلى البنية التحتية للمشغلين — اتصالات تستمر حتى خلال مرحلة الإعداد ما قبل التشفير. هذا يجعل تحليل حركة C2 أحد أكثر مسارات الكشف موثوقية المتاحة، إذ يسبق SystemBC نشر برنامج الفدية بساعات أو أيام.

كيف حدث الاختراق الداخلي لـ The Gentlemen وما الذي يكشفه؟

في 4 مايو 2026، قام حساب تعريفه “n7778” — على الأرجح موظف داخلي ساخط أو شريك منخفض الصلاحيات — بتسريب قاعدة البيانات الخلفية “Rocket” الخاصة بـ The Gentlemen. نُشر مجموعة بيانات جزئية بحجم 44.4 ميغابايت دليلاً على الوصول؛ قاعدة البيانات الكاملة تبلغ نحو 16.22 غيغابايت وعُرضت للبيع بـ 10,000 دولار بعملة Bitcoin. يشمل الكشف بيانات اعتماد المسؤول لحساب المشغل الرئيسي للمجموعة، وثمانية معرفات TOX للتواصل للشركاء، وجرد كامل لمجموعة الأدوات التشغيلية، وسجلات المعاملات المالية.

هل يجب على المؤسسات افتراض أنها موجودة بالفعل في لوحة ضحايا The Gentlemen؟

ليس بالضرورة — لكن نسبة 4.7 مرة بين الضحايا المخفيين والعلنيين (1570 مقابل 332) تعني أن الاحتمالية أعلى مما تفترضه معظم نماذج المخاطر. المؤسسات في القطاعات المستهدفة من The Gentlemen — التصنيع والخدمات المهنية والرعاية الصحية والخدمات اللوجستية — ينبغي لها تنفيذ عملية البحث عن IOCs المذكورة أعلاه بصرف النظر عما إذا كانت قد تلقت طلب فدية. وجود أدوات The Gentlemen في البيانات لا يعني تلقائياً أن برنامج الفدية سينتشر؛ الكشف المبكر خلال مرحلة الإعداد هو بالضبط المرحلة التي يملك فيها المدافعون أكبر قدر من القدرة على الاحتواء.

المصادر والقراءات الإضافية