The Gentlemen Ransomware

‘দ্য জেন্টলম্যান’ অপারেশনের তদন্তে জানা গেছে যে, আর্থিকভাবে উদ্দেশ্যপ্রণোদিত এই হুমকিদাতা দলটি মূলত একটি সহযোগী হিসেবে কাজ করত এবং লকবিট, কিলিন ও মেডুসা-সহ একাধিক র‍্যানসমওয়্যার-অ্যাজ-এ-সার্ভিস (RaaS) ইকোসিস্টেম দ্বারা সরবরাহকৃত পরিকাঠামো ও সম্পদ ব্যবহার করে দ্বৈত চাঁদাবাজির হামলা চালাত।

ফ্যান্টম ম্যান্টিস নামে বেশ কয়েকজন গবেষক এই কার্যক্রমটির ওপর নজর রাখছেন এবং এর নেতৃত্বে রয়েছে লার্ভা-৩৬৮ নামে পরিচিত একজন রুশ-ভাষী সাইবার অপরাধী। এই ব্যক্তি হাসতালামুয়ের্তে, আর্মকর্প, জেটা৮৮, নোবডি০ এবং সান্তামুয়ের্তে-সহ একাধিক অনলাইন ছদ্মনামের সাথে যুক্ত। ২০২৫ সালের মার্চ মাস থেকে সক্রিয় এই দলটি প্রকাশ্যে ৪৭৮ জন ভুক্তভোগীর হত্যার দায় স্বীকার করেছে।

হুমকি গোষ্ঠীর উত্থান

২০২৫ সালের জুলাই মাসে একটি বড় পরিবর্তন ঘটে, যখন ফ্যান্টম ম্যান্টিস ‘দ্য জেন্টলমেন’-এ রূপান্তরিত হয়—একটি স্বাধীন অংশীদারিত্বমূলক প্রোগ্রাম যা আর বাহ্যিক RaaS অপারেটরদের উপর নির্ভরশীল নয়। এই রূপান্তরের সাথে র‍্যানসমওয়্যার উন্নয়ন, টুল রক্ষণাবেক্ষণ এবং এক্সপ্লয়টেশন-পরবর্তী কার্যক্রমকে সমর্থন করার জন্য কৃত্রিম বুদ্ধিমত্তার ব্যাপক ব্যবহার করা হয়।

হুমকি সংক্রান্ত গোয়েন্দা তথ্য থেকে জানা যায় যে, LARVA-368 পূর্বে Embargo র‍্যানসমওয়্যার গ্রুপের অধীনে কাজ করত এবং পরে ArmCorp ব্র্যান্ডের অধীনে একটি পৃথক অপারেশন শুরু করে। চার মাস পর, এই অপারেশনটির নতুন নামকরণ করা হয় The Gentlemen।

এই রূপান্তরের সময়টি LARVA-368 এবং Qilin র‍্যানসমওয়্যার অপারেশনের মধ্যকার একটি প্রকাশ্য বিবাদের সাথে ঘনিষ্ঠভাবে জড়িত ছিল। হুমকিদাতা সংস্থাটি Qilin-এর বিরুদ্ধে একটি এক্সিট স্ক্যাম পরিচালনা এবং প্রায় ৪৮,০০০ ডলার আয় আটকে রাখার অভিযোগ করেছিল।

আন্ডারগ্রাউন্ড কমিউনিটিগুলোর মধ্যে নিজেদের অবস্থান শক্তিশালী করতে ফ্যান্টম ম্যান্টিস সাইবার অপরাধী ফোরামগুলোতে প্রিমিয়াম সদস্যপদে বিনিয়োগ করেছে। যোগাযোগ এবং প্রযুক্তিগত সহায়তার কাজগুলো মূলত ‘দ্য জেন্টলম্যান ডেটা’ নামে পরিচিত একটি পৃথক রুশ-ভাষী সত্তা দ্বারা পরিচালিত হয়।

একটি পরিপক্ক এবং দ্রুত বর্ধনশীল র‍্যানসমওয়্যার ইকোসিস্টেম

নিরাপত্তা গবেষকরা ‘দ্য জেন্টলমেন’-কে একটি অত্যন্ত অভিযোজনক্ষম ও দ্রুত পরিবর্তনশীল র‍্যানসমওয়্যার অপারেশন হিসেবে চিহ্নিত করেছেন, যা প্রচলিত র‍্যানসমওয়্যার কৌশলের সাথে আধুনিক RaaS (র‍্যানসমওয়্যার অ্যাজ এ সার্ভিস) সক্ষমতার সমন্বয় ঘটায়। এর কার্যপ্রণালীতে দ্বৈত চাঁদাবাজি, বিভিন্ন প্ল্যাটফর্মে র‍্যানসমওয়্যারের বিভিন্ন রূপ, নমনীয় বিস্তার কৌশল এবং ব্যাপক সহযোগী সমর্থন অন্তর্ভুক্ত রয়েছে।

এই গোষ্ঠীটি হুমকি জগতে দ্রুততম সক্রিয় র‍্যানসমওয়্যার গোষ্ঠীগুলোর মধ্যে অন্যতম হিসেবে আবির্ভূত হয়েছে, যা এপ্রিল ২০২৬-এর মধ্যে পর্যবেক্ষণ করা সমস্ত র‍্যানসমওয়্যার কার্যকলাপের প্রায় ১০% এর জন্য দায়ী। আক্রমণ অভিযানগুলো সাধারণত একটি প্রতিষ্ঠান-কেন্দ্রিক অনুপ্রবেশ শৃঙ্খল অনুসরণ করে, যা দুর্বল ইন্টারনেট-মুখী পরিষেবা বা ফাঁস হওয়া পরিচয়পত্রের মাধ্যমে শুরু হয়।

বিশ্লেষণে আরও ইঙ্গিত পাওয়া যায় যে, অপারেটররা অনুপ্রবেশের সময় গতিশীলভাবে কৌশল পরিবর্তন করতে পারে। এই কার্যকলাপগুলোর মধ্যে রয়েছে গ্রুপ পলিসি অবজেক্ট (GPO) পরিবর্তন করা, বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টগুলোর নিরাপত্তা বিঘ্নিত করা এবং এন্ডপয়েন্ট নিরাপত্তা নিয়ন্ত্রণ এড়ানোর জন্য বিশেষভাবে তৈরি কৌশল প্রয়োগ করা।

ভুক্তভোগীদের বণ্টন থেকে এর প্রধানত আন্তর্জাতিক কেন্দ্রবিন্দু নির্দেশ করে। শনাক্ত হওয়া ভুক্তভোগীদের মধ্যে মাত্র ১৩% মার্কিন যুক্তরাষ্ট্রে অবস্থিত, অপরদিকে থাইল্যান্ড, যুক্তরাজ্য, ব্রাজিল, জার্মানি এবং ভারতে ভুক্তভোগীদের সর্বোচ্চ ঘনত্ব পরিলক্ষিত হয়েছে।

সহযোগী সমর্থন এবং অপরাধমূলক ব্যবসায়িক কার্যক্রম

দ্য জেন্টলমেন একটি সুসংগঠিত অ্যাফিলিয়েট ইকোসিস্টেম পরিচালনা করে, যা সরাসরি LARVA-368 দ্বারা সমর্থিত। দ্য জেন্টলমেন আইএম প্ল্যাটফর্মের ডেডিকেটেড অ্যাকাউন্টগুলো এনক্রিপশন প্রক্রিয়া এবং অনুপ্রবেশ-সম্পর্কিত চ্যালেঞ্জ মোকাবেলায় সহায়তা প্রদান করে, যার মধ্যে ‘ব্রিং ইওর ওন ভালনারেবল ড্রাইভার’ (BYOVD) কৌশল ব্যবহারকারী EDR বাইপাস টুলের অ্যাক্সেসও অন্তর্ভুক্ত।

The Gentlemen এবং The Gentlemen Data উভয়ের জন্য সহায়তা পরিষেবা Tox, SimpleX Chat, এবং Ricochet Refresh মেসেজিং প্ল্যাটফর্মের মাধ্যমে পাওয়া যায়। অ্যাফিলিয়েট পোর্টালে অ্যাক্সেস পাওয়ার আগে সম্ভাব্য অ্যাফিলিয়েটদের অবশ্যই কমপক্ষে ১ জিবি চুরি করা ভুক্তভোগীর ডেটা জমা দিতে হবে। এই শর্তটি সম্ভবত গবেষক এবং আইন প্রয়োগকারী সংস্থাগুলোকে অ্যাফিলিয়েট সেজে প্ল্যাটফর্মে অনুপ্রবেশ করা থেকে বিরত রাখার উদ্দেশ্যেই রাখা হয়েছে।

অ্যাফিলিয়েট ম্যানেজমেন্ট পোর্টালটি ব্যবহারকারী প্রশাসন, টার্গেট কনফিগারেশন এবং র‍্যানসমওয়্যার ডেপ্লয়মেন্ট ম্যানেজমেন্টের সুবিধা দেয়। অংশগ্রহণকারীদের আকৃষ্ট করতে, এই কার্যক্রমটি একটি কঠোর রাজস্ব-বণ্টন কাঠামো প্রচার করে, যেখানে লাভের ৯০% অ্যাফিলিয়েটদের এবং ১০% অপারেটরদের জন্য বরাদ্দ করা হয়।

প্রযুক্তিগত অবকাঠামো এবং আক্রমণ পদ্ধতি

এই গোষ্ঠীটি পাঁচটি র‍্যানসমওয়্যার ভ্যারিয়েন্ট সরবরাহ করে, যা উইন্ডোজ, লিনাক্স, ESXi, উইন্ডোজ এক্সপি ও পরবর্তী সংস্করণ সিস্টেম এবং লজিক্যাল ভলিউম ম্যানেজার (LVM) ব্যবহারকারী পরিবেশগুলোকে লক্ষ্য করে তৈরি। প্রাথমিক অ্যাক্সেস অপারেশনগুলো সাধারণত ভিপিএন অ্যাপ্লায়েন্স, ফায়ারওয়াল এবং এজ ডিভাইসের মতো ইন্টারনেট-সংযুক্ত অবকাঠামোকে কেন্দ্র করে পরিচালিত হয়।

অনুপ্রবেশের জীবনচক্রে আক্রমণাত্মক সরঞ্জাম ও কৌশলের এক বিশাল ভাণ্ডার অন্তর্ভুক্ত থাকে:

• NetExec, RelayKing, TaskHound, PrivHound, এবং CertiHound-এর মতো রেড-টিম ইউটিলিটিগুলো অ্যাক্টিভ ডিরেক্টরি রিকনেসান্স, সার্টিফিকেট অ্যাবিউজ, প্রিভিলেজ এসকেলেশন, এবং নেটওয়ার্ক-শেয়ার ডিসকভারির জন্য ব্যবহৃত হয়। EDRStartupHinder, gfreeze, glinker, এবং DumpBrowserSecrets-সহ অতিরিক্ত টুলগুলো ডিফেন্স এভেশন এবং ক্রেডেনশিয়াল চুরিতে সহায়তা করে, অন্যদিকে Velociraptor কমান্ড-অ্যান্ড-কন্ট্রোল কার্যক্রমে সমর্থন জোগায়।
• হ্যাকিংয়ের পরবর্তী পদক্ষেপগুলোর মধ্যে প্রায়শই অন্তর্ভুক্ত থাকে উইন্ডোজ সিস্টেম, অ্যাপ্লিকেশন ও সিকিউরিটি ইভেন্ট লগ মুছে ফেলা, মাইক্রোসফট ডিফেন্ডার নিষ্ক্রিয় করা এবং শনাক্তকরণের সুযোগ কমাতে অ্যান্টিভাইরাস এক্সক্লুশন তৈরি করা।

এই র‍্যানসমওয়্যারটি X25519 কী এক্সচেঞ্জ এবং XChaCha20 সিমেট্রিক এনক্রিপশনের সমন্বয়ে একটি হাইব্রিড এনক্রিপশন মডেল ব্যবহার করে। Storm-2697 নামে পরিচিত এই কার্যকলাপ ক্লাস্টারটি ট্র্যাক করা গবেষকরা নিশ্চিত করেছেন যে, ম্যালওয়্যারটি Go ভাষায় লেখা এবং Garble ব্যবহার করে এটিকে দুর্বোধ্য করা হয়েছে।

'--spread' প্যারামিটারের মাধ্যমে একটি বিশেষভাবে বিপজ্জনক ক্ষমতা সক্রিয় হয়, যা র‍্যানসমওয়্যারটিকে একটি একক-হোস্ট এনক্রিপ্টর থেকে একটি স্ব-প্রসারিত ওয়ার্মে রূপান্তরিত করে, যা পৌঁছানো যায় এমন নেটওয়ার্ক সিস্টেম জুড়ে নিজেকে ছড়িয়ে দিতে সক্ষম। '--wipe' আর্গুমেন্টের সাথে চালানো হলে, ম্যালওয়্যারটি এনক্রিপশনের পরে পুনরুদ্ধারযোগ্য নিদর্শনগুলি মুছে ফেলার উদ্দেশ্যে অতিরিক্ত পদক্ষেপ গ্রহণ করে।

চাঁদাবাজির কৌশল এবং কর্মক্ষম তৎপরতা

প্রমাণ থেকে জানা যায় যে, ‘দ্য জেন্টলমেন’ একটি বহুমুখী চাঁদাবাজির কৌশল পরিচালনা করে যা শুধু র‍্যানসমওয়্যার প্রয়োগের মধ্যেই সীমাবদ্ধ নয়। ভুক্তভোগীরা অর্থ প্রদানের সম্ভাবনা বাড়ানোর উদ্দেশ্যে সরাসরি ইমেল এবং টেলিফোনের মাধ্যমে চাপ প্রয়োগের শিকারও হতে পারেন।

দলটির উন্নয়ন চক্র অসাধারণ দ্রুততার পরিচয় দেয়। এর একটি উল্লেখযোগ্য উদাহরণ ঘটেছিল এপ্রিল ২০২৬-এ, যখন একটি ডিক্রিপ্টর সর্বসাধারণের জন্য উন্মুক্ত হওয়ার দিনেই অপারেটররা একটি প্যাচ প্রকাশ করে।

এনক্রিপশন কার্যকর হওয়ার আগে অনুপ্রবেশগুলো সাধারণত দুই থেকে ছয় সপ্তাহ পর্যন্ত অলক্ষিত থাকে। যেসব প্রতিষ্ঠান ভিএমওয়্যার (VMware) পরিকাঠামো পরিচালনা করে, তারা এই ধরনের প্রচেষ্টার বিশেষ লক্ষ্যবস্তু বলে মনে হচ্ছে।

অভ্যন্তরীণ তথ্য ফাঁসের মাধ্যমে সাংগঠনিক কাঠামো উন্মোচিত হয়েছে

২০২৬ সালের মে মাসে গোষ্ঠীটির ব্যবহৃত একটি অভ্যন্তরীণ রকেট.চ্যাট ডেটাবেস ফাঁস হওয়ার পর একটি গুরুত্বপূর্ণ গোয়েন্দা সাফল্য অর্জিত হয়। এই ফাঁসে ২০২৫ সালের নভেম্বর থেকে ২০২৬ সালের এপ্রিলের শেষভাগ পর্যন্ত আদান-প্রদান করা ৩,৩৬৬টি বার্তা ছিল, যা অপারেশনটির অভ্যন্তরীণ কাঠামো এবং কার্যপ্রবাহ সম্পর্কে মূল্যবান অন্তর্দৃষ্টি প্রদান করে।

যোগাযোগগুলো থেকে সদস্যদের মধ্যে দায়িত্বের সুস্পষ্ট বিভাজন প্রকাশ পায় এবং ভিএমওয়্যার আরিয়া অপারেশনস, ফরটিনেট, সিসকো ও মাইক্রোসফট প্রযুক্তিকে প্রভাবিত করে এমন দুর্বলতাগুলোর ব্যবহারের নথিভুক্ত করা হয়। নথিগুলো একটি সুসংগঠিত অপরাধী চক্রের চিত্র তুলে ধরে, যেখানে আক্রমণ কার্যক্রমের বিভিন্ন পর্যায়কে সমর্থন করার জন্য বিশেষায়িত ভূমিকা ছিল।

ফাঁস হওয়া তথ্যে CVE-2024-55591, CVE-2025-32433, এবং CVE-2025-33073 সহ উদীয়মান দুর্বলতাগুলোর সক্রিয় পর্যবেক্ষণ ও মূল্যায়নও প্রকাশ পেয়েছে। এই এক্সপ্লয়েটগুলোকে ব্যাকআপ-সিস্টেম অ্যাবিউজ, ম্যানেজমেন্ট-কন্ট্রোলার কম্প্রোমাইজ, এবং NTLM রিলে কৌশলের মতো অতিরিক্ত অ্যাটাক পাথওয়ের সাথে একত্রিত করে একটি অত্যন্ত নমনীয় এক্সপ্লয়টেশন ফ্রেমওয়ার্ক তৈরি করা হয়েছিল।

একটি সম্পূর্ণ অপারেটর টুলকিটের উন্মোচন

২০২৬ সালের মার্চ মাসে, সাইবার নিরাপত্তা গবেষকরা প্রোটন৬৬ বুলেটপ্রুফ হোস্টিং সার্ভিসে হোস্ট করা একটি অরক্ষিত ডিরেক্টরি শনাক্ত করেন। ডিরেক্টরিটিতে ‘দ্য জেন্টলমেন’ নামক একটি RaaS অ্যাফিলিয়েটের সাথে সম্পর্কিত ১২৬টি ফাইল ছিল এবং এর মাধ্যমে কার্যকরভাবে একটি সম্পূর্ণ র‍্যানসমওয়্যার অপারেটর টুলকিট উন্মোচিত হয়।

ফাঁস হওয়া টুলকিটটিতে আক্রমণ চক্রের প্রায় প্রতিটি ধাপই অন্তর্ভুক্ত ছিল:

• অনুসন্ধান ও ভুক্তভোগীর প্রোফাইলিং
• বিশেষাধিকার বৃদ্ধি

• প্রতিরক্ষা এড়ানো

• পরিচয়পত্র চুরি

• পার্শ্বীয় চলাচল

• স্থায়িত্ব প্রক্রিয়া

• এনক্রিপশন-পূর্ব প্রস্তুতি কার্যক্রম

টুলকিটটির ব্যাপকতা ইকোসিস্টেমটির পরিচালনগত পরিপক্কতাকে তুলে ধরেছে এবং অ্যাফিলিয়েটদের জন্য উপলব্ধ সম্পদসমূহের একটি বিরল চিত্র প্রদান করেছে।

ব্র্যান্ডের পেছনের হুমকি

লার্ভা-৩৬৮ অন্তত ২০২০ সাল থেকে চাঁদাবাজি-কেন্দ্রিক সাইবার অপরাধমূলক কর্মকাণ্ডে জড়িত। একাধিক র‍্যানসমওয়্যার অপারেশনের সাথে সহযোগিতার মাধ্যমে অর্জিত অভিজ্ঞতা, ‘দ্য জেন্টলমেন’-কে একটি উল্লেখযোগ্য স্বাধীন RaaS (র‍্যানসমওয়্যার অ্যাজ এ সার্ভিস) প্রতিষ্ঠানে পরিণত ও প্রসারিত করার জন্য প্রয়োজনীয় প্রযুক্তিগত দক্ষতা, পরিচালন জ্ঞান এবং অপরাধী নেটওয়ার্ক জুগিয়েছে বলে মনে হয়।

এই অপারেশনের প্রযুক্তিগত উৎকর্ষ, সহযোগী-কেন্দ্রিক ব্যবসায়িক কৌশল, দ্রুত উন্নয়ন চক্র এবং আগ্রাসী চাঁদাবাজির কৌশলের সংমিশ্রণ ‘দ্য জেন্টলমেন’-কে বর্তমানে বিশ্বজুড়ে সংস্থাগুলোর মুখোমুখি হওয়া সবচেয়ে উল্লেখযোগ্য র‍্যানসমওয়্যার হুমকিগুলোর মধ্যে অন্যতম হিসেবে স্থান দিয়েছে।