فيروس Gentlemen الفدية يهاجم Soja de Portugal ويسرب 491 غيغابايت

أعلنت مجموعة الفدية Gentlemen مسؤوليتها عن هجوم استهدف شركة Soja de Portugal، إحدى كبرى الشركات الزراعية في البرتغال، ما أسفر عن كشف 491 غيغابايت من بيانات الشركة الحساسة. ووفقاً لتقرير نشره موقع DeXpose، تشمل البيانات المخترقة سجلات نظام SAP ومعلومات الموظفين ووثائق مالية. ويحمل المقال المصدر تاريخ 4 يونيو 2026، وهو ما يبدو خطأً في الإبلاغ أو نشراً بتاريخ مستقبلي؛ لذا ينبغي للقراء الانتباه إلى أن دقة هذا التاريخ تحديداً لا يمكن التحقق منها بشكل مستقل، رغم أن عدة مصادر استخباراتية للتهديدات أكدت الاختراق نفسه بوصفه حادثة وقعت مؤخراً.

تضاف هذه الحادثة إلى قائمة متزايدة من الهجمات المنسوبة إلى The Gentlemen، وهي عملية فدية كخدمة (RaaS) يقول الباحثون إنها ظهرت علناً في النصف الثاني من عام 2025 وأعلنت منذ ذلك الحين مسؤوليتها عن مئات الضحايا عبر قطاعات ودول متعددة.

من هم مجموعة Gentlemen وما سر فعاليتهم؟

تعمل مجموعة Gentlemen وفق منصة الفدية كخدمة (RaaS)، مما يعني أن المطورين الأساسيين يرخصون برمجياتهم الخبيثة وبنيتهم التحتية لمهاجمين تابعين ينفذون الحملات الفردية. ويخفض هذا النموذج عائق الدخول أمام المجرمين الإلكترونيين ويجعل عملية العزو أكثر تعقيداً على المحققين.

ما يميز هذه المجموعة عن عمليات الفدية القديمة هو استخدامها الدائم للابتزاز المزدوج: فهي تقوم بتشفير بيانات الضحية وتقوم أيضاً بتسريبها قبل تشغيل التشفير. ويعني ذلك أنه حتى المؤسسات التي لديها إجراءات نسخ احتياطي قوية تواجه تهديداً ثانياً: النشر العلني أو بيع البيانات المسروقة في حال عدم دفع الفدية. وفي حالة Soja de Portugal، يبدو أن المجموعة نفذت هذا التهديد، إذ أفادت التقارير بنشر 491 غيغابايت أو إتاحتها عبر بنيتها التحتية للتسريب.

لاحظ الباحثون أن مجموعة أدوات The Gentlemen تستهدف أنظمة Windows وLinux وبرمجيات VMware ESXi الافتراضية وأجهزة التخزين الشبكي NAS، مما يجعلها قادرة على تعطيل مجموعة واسعة من بيئات العمل، بدءاً من شبكات المكاتب التقليدية وصولاً إلى مراكز البيانات الافتراضية.

ما البيانات التي تم كشفها ولماذا تهم؟

فئات البيانات المرتبطة باختراق Soja de Portugal تستحق فحصاً دقيقاً. بيانات SAP مهمة بشكل خاص: SAP هي منصة لتخطيط موارد المؤسسات (ERP) تستخدمها المؤسسات الكبيرة لإدارة كل شيء بدءاً من سلاسل التوريد والمشتريات وصولاً إلى الرواتب والمحاسبة. ويمكن أن يؤدي اختراق بيانات SAP إلى كشف عقود الموردين وهياكل التسعير والتنبؤات المالية الداخلية وتفاصيل تعويضات الموظفين، كل ذلك في مكان واحد.

أما سجلات الموظفين، وهي فئة أخرى مؤكدة في هذا الاختراق، فتشمل عادةً الأسماء وأرقام التعريف وتفاصيل الاتصال وأحياناً المعلومات المصرفية لأغراض الرواتب. وعندما تُسرب هذه البيانات، فإنها تولد مخاطر لاحقة على العمال الأفراد، وليس على المؤسسة وحدها.

هذا النمط من استهداف أنظمة الأعمال المؤسسية ليس مقتصراً على هذا الهجوم. إذ أظهرت حوادث مماثلة، مثل هجوم برنامج الفدية Play على شركة Ampex Data Systems، كيف يعطي المهاجمون الأولوية لمخازن البيانات عالية القيمة بما يشمل معلومات تحديد الهوية الشخصية والسجلات المالية، وذلك على وجه التحديد لأنها تتيح نفوذاً للابتزاز وقيمة لإعادة البيع في الأسواق الإجرامية.

تزداد جاذبية الشركات الزراعية والصناعية بوصفها أهدافاً، لأنها غالباً ما تدير مزيجاً من التكنولوجيا التشغيلية القديمة وبرمجيات المؤسسات الحديثة، مما يخلق أسطح هجوم أوسع وأقل تجانساً مقارنة بالمؤسسات التي بنت بنيتها التحتية في وقت أحدث.

لماذا لا يكفي أمن الحدود وحده؟

من أهم الدروس المستفادة من حوادث كهذه أن الدفاعات التقليدية على الحدود، والجدران النارية، وبرامج مكافحة الفيروسات، ومراقبة الشبكات، ضرورية لكنها غير كافية. فمن المعروف أن مجموعة The Gentlemen ومن يشابهها من العمليات يحصلون على الدخول الأولي عبر حملات التصيد الاحتيالي ومنافذ بروتوكول سطح المكتب البعيد (RDP) المكشوفة وبيانات الاعتماد المخترقة. وما إن يدخلوا إلى الشبكة، يتحركون جانبياً، وغالباً لأيام أو أسابيع، قبل نشر برنامج الفدية.

ولهذا يدعو مختصو الأمن بشكل متزايد إلى نهج متعدد الطبقات في أمن المؤسسات. ومن أكثر الطبقات فعالية:

  • الوصول الشبكي عديم الثقة: بدلاً من الوثوق بأي جهاز أو مستخدم داخل حدود الشبكة، تفرض بنية الثقة الصفرية تحققاً مستمراً من الهوية وسلامة الجهاز قبل منح الوصول إلى أي مورد.
  • الوصول المشفر عن بُعد: تحمي الشبكات الافتراضية الخاصة (VPN) والأدوات المشابهة البيانات أثناء النقل وتقلل خطر اعتراض بيانات الاعتماد على الاتصالات غير المحمية، خاصة للعاملين عن بُعد أو العاملين بنظام هجين ممن يصلون إلى أنظمة حساسة.
  • تقسيم الشبكة: يؤدي عزل أنظمة مثل SAP عن محطات عمل الموظفين العامة إلى الحد من قدرة المهاجم على التحرك جانبياً بعد الحصول على موطئ قدم أولي.
  • اكتشاف نقطة النهاية والاستجابة (EDR): على عكس برامج مكافحة الفيروسات التقليدية، تراقب أدوات EDR التغيرات السلوكية غير المعتادة التي قد تشير إلى وجود مهاجم يعمل داخل الشبكة، حتى قبل نشر البرمجيات الخبيثة.

أظهر هجوم الفدية على ChipSoft في هولندا نمط فشل مماثل: تمكن المهاجمون من الوصول إلى كميات كبيرة من البيانات وتسرّبوها لأن الأنظمة الداخلية لم تكن مقسمة بشكل كافٍ، ولم تكن ضوابط الوصول دقيقة بما يكفي لاحتواء الاختراق بعد تحقيق الدخول الأولي.

ماذا يعني هذا بالنسبة لك؟

سواء كانت مؤسستك شركة متعددة الجنسيات أو نشاطاً تجارياً إقليمياً مثل Soja de Portugal، فقد تغير حساب المخاطر. فمجموعات الفدية التي تستخدم نماذج RaaS قادرة على شن هجمات على نطاق واسع، مستهدفة أي قطاع توجد فيه بيانات قيّمة. وقد لا تكون الشركات الزراعية وشركات الخدمات اللوجستية والمصنعون قد اعتبرت نفسها تاريخياً أهدافاً عالية القيمة، لكن البيانات التي تحتفظ بها في أنظمة ERP وأنظمة الموارد البشرية تروي قصة مختلفة.

إليك خطوات ملموسة يمكن للمؤسسات اتخاذها للحد من تعرضها:

  • تدقيق نقاط الوصول عن بُعد: حدد جميع الخدمات المعرضة للإنترنت، لا سيما بوابات RDP وVPN، وتأكد من تأمينها بالمصادقة متعددة العوامل وبيانات اعتماد تُحدث بانتظام.
  • تطبيق الوصول بأقل الصلاحيات: يجب ألا يحصل الموظفون والأنظمة إلا على البيانات والتطبيقات التي يحتاجون إليها فعلاً. فحقوق الوصول الواسعة تسرّع الحركة الجانبية بعد الاختراق.
  • اختبر نسخك الاحتياطية: النسخ الاحتياطية غير المتصلة أو غير القابلة للتغيير تمثل دفاعاً أساسياً ضد برامج الفدية المعتمدة على التشفير، لكن فقط إذا جرى اختبارها بانتظام والتأكد من إمكانية استعادتها.
  • تصنيف البيانات والتشفير عند السكون: معرفة أي البيانات هي الأكثر حساسية وضمان تشفيرها حتى عند تخزينها داخلياً يحد من قيمة الملفات المسربة بالنسبة للمهاجمين.

اختراق Soja de Portugal هو دراسة حالة مفيدة ليس لأنه استثنائي، بل لأنه مثال متكرر على نحو متزايد. فمع استمرار هجمات الفدية في كشف كميات هائلة من بيانات الشركات عبر القطاعات، فإن المؤسسات التي تحقق أفضل النتائج هي تلك التي تتعامل مع الأمن بوصفه عملية مستمرة لا استثماراً لمرة واحدة. مراجعة ضوابط الوصول وبنية الشبكة وخطة الاستجابة للحوادث الآن أقل تكلفة بكثير من إدارة تسريب للبيانات بحجم 491 غيغابايت بعد وقوعه.