الحجم المخفي ديال "The Gentlemen": اكتشاف سيرفر C2 ديال SystemBC كشف كتر من 1,570 ضحية ديال Ransomware
SystemBC C2 Server Reveals 1,570+ Victims in The Gentlemen Ransomware Operation
الحجم المخفي ديال "The Gentlemen": اكتشاف سيرفر C2 ديال SystemBC كشف كتر من 1,570 ضحية ديال Ransomware
خلاصة (TL;DR)
بحث جديد فواحد السيرفر ديال Command-and-Control (C2) خدامين بيه العصابة ديال The Gentlemen (لي كيديرو Ransomware-as-a-Service - RaaS) كشف على شبكة "بوتنيت" ضخمة فيها كتر من 1,570 ضحية فالعالم كامل. هاد المجموعة كتخدم بمالوير SystemBC باش يسهلو التحرك وسط الأنظمة وسرقة البيانات، وفوق قصير ولات وحدة من أخطر التهديدات فمجال الجرائم الإلكترونية مللي بانت فوليوز 2025.
كشف خبايا هاد البوتنيت العالمية
التحليل اللّخر اللي داروه Check Point Research عطانا نظرة نادرة على الكواليس ديال الخدمة لداخل عند The Gentlemen. من بعد ما قدرو يوصلو لسيرفر C2 مرتبط بالمالوير SystemBC اللي كايستعملوه شركاء (Affiliates) ديال هاد المجموعة، الباحثين لقاو بلي الحجم ديال العمليات ديالهم كبر ب بزاف مللي كان كيحساب لينا.
وخّا الموقع ديال التسريبات ديال "The Gentlemen" حاط فيه تقريبا 320 ضحية، السيرفر C2 كشف بلي كاين "بوتنيت" كاتضم كتر من 1,570 شبكة ديال شركات مخترقة. هاد الضحايا مشتين فالعالم كامل، وبالخصوص فالميريكان، بريطانيا، ألمانيا، أستراليا، ورومانيا.
"الحجم الحقيقي ديال هاد العملية كبر بزاف من داكشي اللي معروف عند العموم، ومازال غادا وكتكبر،" هادشي اللي قال إيلي سمادجا، مدير مجموعة فـ Check Point Research.
الدور ديال SystemBC
SystemBC هو واحد "البروكسي مالوير" معروف كيتستعمل فالهجمات ديال Ransomware من 2020 على الأقل. فالحالة ديال "The Gentlemen"، هاد SystemBC كيدير بزاف ديال المهام:
- Network Tunneling: كيدير نفق (Tunnel) من نوع SOCKS5 وسط الشبكة ديال الضحية.
- Encrypted Communication: كيتواصل مع سيرفر C2 ديالو باستعمال بروتوكول مشفر بـ RC4 باش ميتفرش.
- Payload Delivery: كيخدم بحال "Loader"، عندو القدرة يتيليشارجي ويخدم مالويرات خرين نيشان فالميموار (Memory) أولا يحطهم فالديسك.
الباحثين فمجال الأمن مازال كيقلبو واش SystemBC ضروري فݣاع الهجمات ديال "The Gentlemen" أولا هو غير أداة كيعجب يخدمو بيها شي أطراف معينة باش يدخلو للأنظمة ويسرقو البيانات.
أساليب متطورة وتفادي الحماية
هاد المجموعة "The Gentlemen" خدامة بالموديل ديال التزاز المزدوج (Double-extortion)، وكيبينو احترافية كبيرة حيت كيستهدفو أنظمة Windows، Linux، NAS، وBSD باستعمال برنامج تشفير (Locker) مصاوب بلغة Go.
سلسلة الهجوم ديالهم العادية فيها هاد المراحل:
- الدخول اللول (Initial Access): غالباً كيكون عن طريق كونتات مسروقين أولا تفركيع ثغرات فخدمات مفتوحة على الإنترنت.
- التحرك الجانبي (Lateral Movement): كيستغلو الـ Group Policy Objects (GPOs) باش يسيطرو على الدومين (Domain) كامل.
- تعطيل الحماية: قبل ما يطلقو الـ Ransomware، كيستعملو سكريبتات PowerShell باش يطفيو Windows Defender، يحبسو الفايروول (Firewalls)، ويخففو الرقابة على الـ LSA anonymous access.
- تكتيكات خاصة بـ ESXi: النسخة ديالهم الخاصة بـ ESXi مصاوبة باش تطفي الـ Virtual Machines وتحبس أي محاولة ديال الاسترجاع (Recovery) عن طريق crontab persistence قبل ما يبدا التشفير.
منافسة قوية فـ "سوق" الـ Ransomware
مجموعة "The Gentlemen" دابا مصنفة من بين أنشط المجموعات فالعالم. على حسب بيانات ZeroFox ديال الربع الأول من 2026، المجموعة سجلات 192 حادثة، مورا Qilin (338) و Akira (197).
على عكس بزاف ديال المجموعات اللي كيركزو أكتر من 50% من مجهوداتهم على أمريكا الشمالية، "The Gentlemen" عندهم استراتيجية موزعة، حيت الضحايا فميريكان كيمثلو غير 13% من الهجمات ديالهم فبداية 2026.
هاد التقرير جا فالوقت اللي بانو فيه تهديدات خرين بحال Kyber ransomware (اللي تكتشف فشتنبر 2025)، اللي كيخدم بـ Rust و C++ باش يضرب Windows و VMware ESXi، هادشي كيبين باللي التوجه الجديد ديال هاد المجرمين هو التخصص فأنظمة متعددة.
خلاصة
"The Gentlemen" قدروا يتميزو على المجموعات "المصدعة" اللي كتغبر غير مورا شي ضربات ناجحة. من خلال تقديم شروط مغرية للمتعاونين معاهم (Affiliates) واستعمال أدوات احترافية ومتنوعة — بحال استعمالهم الواسع لـ SystemBC — بناو بنية تحتية ضخمة وما بايناش ديال الشبكات المخترقة. ومع الوقت اللي كيقضيوه الهاكرز لداخل قبل ما يفركعو التشفير غادي وكيقصر من أيام لـ ساعات قليلة، خاص المدافعين يوجدو لعدو اللي ولا كيخدم بطريقة "صناعية" وعندو القدرة يعمي أدوات الحماية قبل ما يتشفر أول ملف.
المصدر: https://thehackernews.com/2026/04/systembc-c2-server-reveals-1570-victims.html