Ransomware The Gentlemen

Vyšetřování operace Gentlemen odhalilo, že finančně motivovaná skupina hrozeb původně fungovala jako přidružená společnost provádějící dvojité vydírání a zároveň využívající infrastrukturu a zdroje poskytované několika ekosystémy Ransomware-as-a-Service (RaaS), včetně LockBit, Qilin a Medusa.

Operaci sleduje několik výzkumníků pod jménem Phantom Mantis a vede ji rusky mluvící kyberzločinec identifikovaný jako LARVA-368. Tato osoba je spojována s několika online přezdívkami, včetně hastalamuerte, ArmCorp, zeta88, nobody0 a santamuerte. Skupina, která je aktivní od března 2025, se veřejně přihlásila k odpovědnosti za 478 obětí.

Vznik skupiny hrozeb

K zásadní transformaci došlo v červenci 2025, kdy se Phantom Mantis vyvinul v The Gentlemen, nezávislý partnerský program, který již není závislý na externích provozovatelích RaaS. Přechod byl doprovázen rozsáhlým využíváním umělé inteligence k podpoře vývoje ransomwaru, údržby nástrojů a aktivit po zneužití.

Z analýzy hrozeb vyplývá, že LARVA-368 dříve působila v rámci skupiny ransomwaru Embargo, než zahájila samostatnou operaci pod značkou ArmCorp. O čtyři měsíce později byla operace přejmenována na The Gentlemen.

Načasování tohoto přechodu úzce souviselo s veřejným sporem mezi LARVA-368 a ransomwarem Qilin. Původce útoku obvinil Qilin z provedení podvodu s cílem ukončit obchod a zadržení přibližně 48 000 dolarů ze zisku.

Aby posílila svou pozici na trhu v rámci podzemních komunit, investovala společnost Phantom Mantis do prémiového členství na fórech kyberzločinců. Komunikační a technické podpůrné funkce jsou z velké části spravovány samostatnou rusky mluvící personou známou jako The Gentlemen Data.

Zralý a rychle rostoucí ekosystém ransomwaru

Bezpečnostní experti charakterizují The Gentlemen jako vysoce adaptivní a rychle se vyvíjející ransomwarovou operaci, která kombinuje tradiční techniky ransomwaru s moderními možnostmi RaaS. Její operační model zahrnuje dvojité vydírání, multiplatformní varianty ransomwaru, flexibilní mechanismy šíření a rozsáhlou podporu affiliate partnerů.

Tato skupina se rychle stala jedním z nejaktivnějších aktérů ransomwaru v oblasti hrozeb a v dubnu 2026 se podílela na přibližně 10 % veškeré pozorované aktivity ransomwaru. Útočné kampaně obvykle sledují řetězec narušení zaměřený na podniky, který začíná zranitelnými internetovými službami nebo kompromitovanými přihlašovacími údaji.

Analýza dále naznačuje, že operátoři mohou během útoků dynamicky upravovat taktiky. Mezi aktivity patřila manipulace s objekty skupinových zásad (GPO), ohrožení privilegovaných účtů a nasazení přizpůsobených technik určených k obcházení bezpečnostních kontrol koncových bodů.

Rozložení obětí naznačuje převážně mezinárodní zaměření. Pouze asi 13 % známých obětí se nachází ve Spojených státech, zatímco nejvyšší koncentrace obětí byla pozorována v Thajsku, Spojeném království, Brazílii, Německu a Indii.

Podpora affiliate partnerů a operace v oblasti trestné činnosti

Společnost The Gentlemen udržuje strukturovaný ekosystém affiliate partnerů, který je přímo podporován společností LARVA-368. Vyhrazené účty na platformě The Gentlemen IM poskytují pomoc s procesy šifrování a řešením problémů souvisejících s narušením bezpečnosti, včetně přístupu k nástrojům pro obcházení EDR, které využívají techniky Bring Your Own Vulnerable Driver (BYOVD).

Podpůrné služby pro The Gentlemen i The Gentlemen Data jsou k dispozici prostřednictvím platforem pro zasílání zpráv Tox, SimpleX Chat a Ricochet Refresh. Potenciální partneři musí před získáním přístupu k partnerskému portálu odeslat alespoň 1 GB ukradených dat o obětech. Zdá se, že tento požadavek má zabránit výzkumníkům a orgánům činným v trestním řízení v infiltraci platformy tím, že se budou vydávat za partnery.

Portál pro správu affiliate partnerů umožňuje správu uživatelů, konfiguraci cílů a správu nasazení ransomwaru. Pro přilákání účastníků prosazuje operace agresivní strukturu sdílení příjmů, která přiděluje 90 % zisku affiliate partnerům a 10 % provozovatelům.

Technická infrastruktura a metodologie útoku

Skupina nabízí pět variant ransomwaru určených pro systémy Windows, Linux, ESXi, Windows XP a novější, a také pro prostředí využívající Logical Volume Manager (LVM). Počáteční přístupové operace se obvykle zaměřují na infrastrukturu přístupnou k internetu, jako jsou VPN zařízení, firewally a edge zařízení.

Životní cyklus narušení zahrnuje široký arzenál útočných nástrojů a technik:

• Nástroje „červeného týmu“, jako jsou NetExec, RelayKing, TaskHound, PrivHound a CertiHound, se používají k průzkumu služby Active Directory, zneužívání certifikátů, eskalaci oprávnění a vyhledávání sdílených síťových složek. Další nástroje, včetně EDRStartupHinder, gfreeze, glinker a DumpBrowserSecrets, usnadňují obcházení obrany a krádež přihlašovacích údajů, zatímco Velociraptor podporuje činnosti velení a řízení.
• Mezi akce po narušení bezpečnosti často patří vymazání protokolů událostí systému Windows, aplikací a zabezpečení, zakázání programu Microsoft Defender a vytvoření antivirových výjimek za účelem snížení pravděpodobnosti detekce.

Ransomware využívá hybridní šifrovací model kombinující výměnu klíčů X25519 se symetrickým šifrováním XChaCha20. Výzkumníci sledující cluster aktivit během Storm-2697 zjistili, že malware je napsán v jazyce Go a obfuskován pomocí Garble.

Obzvláště nebezpečná schopnost je aktivována parametrem „--spread“, který převádí ransomware z šifrovacího programu pro jednoho hostitele na samorozmnožujícího se červa schopného se distribuovat napříč dostupnými síťovými systémy. Při spuštění s argumentem „--wipe“ malware provádí další akce určené k odstranění obnovitelných artefaktů po zašifrování.

Vydírání a operační agilita

Důkazy naznačují, že skupina The Gentlemen používá vícekanálovou vydírací strategii, která přesahuje rámec nasazení ransomwaru. Oběti mohou také čelit přímé e-mailové komunikaci a telefonickým nátlakovým kampaním, jejichž cílem je zvýšit pravděpodobnost platby.

Vývojový cyklus skupiny vykazuje neobvykle vysokou úroveň odezvy. Jeden pozoruhodný příklad se odehrál v dubnu 2026, kdy operátoři vydali záplatu ve stejný den, kdy se veřejně zpřístupnil dešifrovací program.

Narušení obvykle zůstávají nezjištěna po dobu dvou až šesti týdnů, než je provedeno šifrování. Zdá se, že organizace provozující infrastrukturu VMware jsou obzvláště zaměřeny na cílené útoky.

Interní úniky odhalují organizační strukturu

K významnému průlomu ve zpravodajských informacích došlo v květnu 2026 po odhalení interní databáze Rocket.Chat používané skupinou. Únik obsahoval 3 366 zpráv vyměněných mezi listopadem 2025 a koncem dubna 2026, které poskytly cenný vhled do vnitřní struktury a pracovních postupů operace.

Komunikace odhalila jasné rozdělení odpovědností mezi členy a zdokumentovala využívání zranitelností ovlivňujících technologie společností VMware Aria Operations, Fortinet, Cisco a Microsoft. Záznamy vykreslovaly dobře organizovaný zločinecký podnik se specializovanými rolemi podporujícími různé fáze útočných operací.

Uniklé informace také ukázaly aktivní monitorování a vyhodnocování nově vznikajících zranitelností, včetně CVE-2024-55591, CVE-2025-32433 a CVE-2025-33073. Tyto zranitelnosti byly kombinovány s dalšími útočnými cestami zahrnujícími zneužití zálohovacích systémů, kompromitaci management-controller a techniky NTLM relay, čímž vznikl vysoce flexibilní rámec pro zneužití.

Zpřístupnění kompletní sady nástrojů pro operátory

V březnu 2026 identifikovali výzkumníci v oblasti kybernetické bezpečnosti exponovaný adresář hostovaný na nepropustné hostingové službě Proton66. Adresář obsahoval 126 souborů připisovaných partnerské službě The Gentlemen RaaS a fakticky odhalil kompletní sadu nástrojů operátora ransomwaru.

Uniklá sada nástrojů pokrývala téměř každou fázi životního cyklu útoku:

• Průzkum a profilování obětí
• Eskalace oprávnění

• Vyhýbání se obraně

• Krádež přihlašovacích údajů

• Boční pohyb

• Mechanismy perzistence

• Přípravné činnosti před šifrováním

Šíře sady nástrojů zdůraznila provozní vyspělost ekosystému a poskytla vzácný pohled na zdroje dostupné pro přidružené subjekty.

Hrozba skrytá za značkou

LARVA-368 se podílí na kybernetické kriminalitě zaměřené na vydírání nejméně od roku 2020. Zkušenosti získané spoluprací s několika operacemi zaměřenými na ransomware zřejmě poskytly technické znalosti, operační znalosti a zločineckou síť nezbytné k založení a rozšíření skupiny The Gentlemen do významné nezávislé společnosti RaaS.

Kombinace technické sofistikovanosti, obchodních praktik zaměřených na affiliate partnery, rychlých vývojových cyklů a agresivních vydíracích taktik řadí The Gentlemen mezi nejvýznamnější ransomwarové hrozby, kterým v současnosti čelí organizace po celém světě.