Рансъмуерът „Джентълмените“
Разследванията на операцията „The Gentlemen“ разкриват, че финансово мотивираната група за престъпления първоначално е функционирала като филиал, извършващ двойни изнудващи атаки, като същевременно е използвала инфраструктура и ресурси, предоставени от множество екосистеми за рансъмуер като услуга (RaaS), включително LockBit, Qilin и Medusa.
Операцията се проследява от няколко изследователи под името Phantom Mantis и се ръководи от рускоезичен киберпрестъпник, идентифициран като LARVA-368. Това лице е свързано с множество онлайн псевдоними, включително hastalamuerte, ArmCorp, zeta88, nobody0 и santamuerte. Активна от март 2025 г., групата публично е поела отговорност за 478 жертви.
Съдържание
Появата на групата заплахи
През юли 2025 г. настъпи голяма трансформация, когато Phantom Mantis се превърна в The Gentlemen, независима партньорска програма, която вече не зависи от външни RaaS оператори. Преходът беше съпроводен от широко използване на изкуствен интелект за подпомагане на разработването на ransomware, поддръжката на инструменти и дейностите след експлоатация.
Оценките на разузнавателната информация за заплахите показват, че LARVA-368 преди това е действала в рамките на групата за рансъмуер Embargo, преди да стартира отделна операция под марката ArmCorp. Четири месеца по-късно операцията е преименувана на The Gentlemen.
Времето на този преход беше тясно свързано с публичен спор между LARVA-368 и операцията за рансъмуер Qilin. Злоумишленикът обвини Qilin в извършване на измама за излизане от системата и укриване на приблизително 48 000 долара печалба.
За да засили пазарното си присъствие в подземните общности, Phantom Mantis инвестира в премиум членства в киберпрестъпни форуми. Функциите за комуникация и техническа поддръжка до голяма степен се управляват от отделна рускоезична персона, известна като The Gentlemen Data.
Зряла и бързо развиваща се екосистема от рансъмуер
Изследователите по сигурност характеризират The Gentlemen като силно адаптивна и бързо развиваща се рансъмуер операция, която комбинира традиционни техники за рансъмуер с модерни RaaS възможности. Оперативният ѝ модел включва двойно изнудване, междуплатформени варианти на рансъмуер, гъвкави механизми за разпространение и обширна партньорска поддръжка.
Групата бързо се утвърди като един от най-активните участници в разпространението на ransomware в света на заплахите, като представлява приблизително 10% от цялата наблюдавана ransomware активност през април 2026 г. Атакуващите кампании обикновено следват верига от прониквания, фокусирана върху предприятията, която започва чрез уязвими интернет услуги или компрометирани идентификационни данни.
Допълнителният анализ показва, че операторите могат динамично да променят тактиките по време на прониквания. Дейностите включват манипулиране на обекти на групови правила (GPO), компрометиране на привилегировани акаунти и внедряване на персонализирани техники, предназначени да заобиколят контролите за сигурност на крайните точки.
Разпределението на жертвите показва предимно международен фокус. Само около 13% от известните жертви се намират в Съединените щати, докато най-висока концентрация на жертви е наблюдавана в Тайланд, Обединеното кралство, Бразилия, Германия и Индия.
Поддръжка на партньори и криминални бизнес операции
„The Gentlemen“ поддържа структурирана партньорска екосистема, поддържана директно от LARVA-368. Специализираните акаунти в платформата за IM „The Gentlemen“ предоставят помощ за процеси на криптиране и предизвикателства, свързани с проникване, включително достъп до инструменти за заобикаляне на EDR, които използват техниките „Bring Your Own Vulnerable Driver“ (BYOVD).
Услугите за поддръжка както за The Gentlemen, така и за The Gentlemen Data са достъпни чрез платформите за съобщения Tox, SimpleX Chat и Ricochet Refresh. Потенциалните партньори трябва да предоставят поне 1 GB откраднати данни за жертвите, преди да получат достъп до партньорския портал. Това изискване изглежда има за цел да предотврати проникването на изследователи и правоприлагащи органи в платформата, като се представят за партньори.
Порталът за управление на партньорски програми позволява администриране на потребители, конфигуриране на цели и управление на внедряването на ransomware. За да привлече участници, операцията насърчава агресивна структура за споделяне на приходите, която разпределя 90% от печалбата на партньорите и 10% на операторите.
Техническа инфраструктура и методология на атаката
Групата предлага пет варианта на рансъмуер, предназначени да атакуват Windows, Linux, ESXi, Windows XP и по-нови системи, както и среди, използващи Logical Volume Manager (LVM). Първоначалните операции за достъп обикновено се фокусират върху инфраструктура, насочена към интернет, като VPN устройства, защитни стени и периферни устройства.
Жизненият цикъл на проникване включва широк арсенал от офанзивни инструменти и техники:
- Помощни програми от „червения екип“ като NetExec, RelayKing, TaskHound, PrivHound и CertiHound се използват за разузнаване на Active Directory, злоупотреба със сертификати, ескалация на привилегии и откриване на споделени мрежови ресурси. Допълнителни инструменти, включително EDRStartupHinder, gfreeze, glinker и DumpBrowserSecrets, улесняват избягването на защита и кражбата на идентификационни данни, докато Velociraptor поддържа дейности по командване и контрол.
- Действията след компрометиране често включват изчистване на регистрационните файлове на системата, приложенията и събитията за сигурността на Windows, деактивиране на Microsoft Defender и създаване на антивирусни изключения за намаляване на възможностите за откриване.
Рансъмуерът използва хибриден модел на криптиране, комбиниращ обмен на ключове X25519 със симетрично криптиране XChaCha20. Изследователи, проследяващи клъстера с активност по време на Storm-2697, установиха, че зловредният софтуер е написан на Go и е обфускиран с помощта на Garble.
Особено опасна функция се активира чрез параметъра „--spread“, който преобразува рансъмуер вируса от криптиращ софтуер с един хост в саморазпространяващ се червей, способен да се разпространява в достъпни мрежови системи. Когато се изпълни с аргумента „--wipe“, зловредният софтуер извършва допълнителни действия, предназначени да елиминират възстановими артефакти след криптиране.
Тактики за изнудване и оперативна гъвкавост
Доказателствата сочат, че „Джентълмените“ използват многоканална стратегия за изнудване, която се простира отвъд внедряването на ransomware. Жертвите могат също да се сблъскат с директни имейл комуникации и телефонни кампании за натиск, предназначени да увеличат вероятността за плащане.
Цикълът на разработка на групата демонстрира необичайно високо ниво на бърза реакция. Един забележителен пример се случи през април 2026 г., когато операторите пуснаха пач в същия ден, в който декрипторът стана публично достъпен.
Проникванията обикновено остават неоткрити за периоди от две до шест седмици, преди да се изпълни криптирането. Организациите, работещи с VMware инфраструктура, изглежда са в особен фокус на усилията за насочване.
Вътрешни течове разкриват организационна структура
През май 2026 г. се случи значителен пробив в разузнаването след разкриването на вътрешна база данни Rocket.Chat, използвана от групата. Изтичането на информация съдържаше 3366 съобщения, разменени между ноември 2025 г. и края на април 2026 г., предоставяйки ценна информация за вътрешната структура и работните процеси на операцията.
Комуникациите разкриха ясно разделение на отговорностите между членовете и документираха използването на уязвимости, засягащи технологиите на VMware Aria Operations, Fortinet, Cisco и Microsoft. Записите изобразиха добре организирана престъпна група със специализирани роли, поддържащи различни фази на атакуващите операции.
Изтеклата информация също така показва активно наблюдение и оценка на нововъзникващи уязвимости, включително CVE-2024-55591, CVE-2025-32433 и CVE-2025-33073. Тези експлойти бяха комбинирани с допълнителни пътища за атака, включващи злоупотреба с резервна система, компрометиране на управлението и контролера и NTLM техники за реле, създавайки изключително гъвкава рамка за експлоатация.
Излагане на пълен набор от инструменти за оператори
През март 2026 г. изследователи по киберсигурност идентифицираха изложена директория, хоствана на непробиваемата хостинг услуга Proton66. Директорията съдържаше 126 файла, приписвани на филиал на The Gentlemen RaaS, и ефективно разкри пълен набор от инструменти за оператор на ransomware.
Изтеклият инструментариум обхваща почти всеки етап от жизнения цикъл на атаката:
- Разузнаване и профилиране на жертвите
- Ескалация на привилегиите
- Избягване на защитата
- Кражба на идентификационни данни
- Странично движение
- Механизми за устойчивост
- Дейности по подготовка преди криптиране
Широкият обхват на инструментариума подчертава оперативната зрялост на екосистемата и предоставя рядък поглед върху ресурсите, достъпни за партньорите.
Заплахата зад марката
LARVA-368 е участвала в киберпрестъпна дейност, фокусирана върху изнудване, поне от 2020 г. Опитът, натрупан чрез сътрудничество с множество операции за борба с ransomware, изглежда е осигурил техническата експертиза, оперативните знания и престъпната мрежа, необходими за създаването и мащабирането на The Gentlemen в значимо независимо RaaS предприятие.
Комбинацията от техническа сложност, бизнес практики, фокусирани върху партньори, бързи цикли на разработка и агресивни тактики за изнудване позиционира The Gentlemen сред най-известните заплахи от ransomware, пред които са изправени организациите по целия свят.
