Rabattilbud med flere licenser
Trusseldatabase Ransomware The Gentlemen Ransomware

The Gentlemen Ransomware

Med Mezo i Ransomware, Advanced Persistent Threat (APT)
Oversæt til:

Undersøgelser af The Gentlemen-operationen afslører, at den økonomisk motiverede trusselsgruppe oprindeligt fungerede som en affilieret virksomhed, der udførte dobbelte afpresningsangreb, mens de udnyttede infrastruktur og ressourcer leveret af flere Ransomware-as-a-Service (RaaS) økosystemer, herunder LockBit, Qilin og Medusa.

Operationen spores af adskillige forskere under navnet Phantom Mantis og ledes af en russisktalende cyberkriminel identificeret som LARVA-368. Denne person har været forbundet med flere online aliasser, herunder hastalamuerte, ArmCorp, zeta88, nobody0 og santamuerte. Gruppen, der har været aktiv siden marts 2025, har offentligt taget ansvar for 478 ofre.

Fremkomsten af trusselsgruppen

En større transformation fandt sted i juli 2025, da Phantom Mantis udviklede sig til The Gentlemen, et uafhængigt partnerskabsprogram, der ikke længere er afhængigt af eksterne RaaS-operatører. Overgangen blev ledsaget af omfattende brug af kunstig intelligens til at understøtte ransomware-udvikling, værktøjsvedligeholdelse og aktiviteter efter udnyttelse.

Trusselsefterretningsvurderinger viser, at LARVA-368 tidligere opererede inden for Embargo ransomware-gruppen, før de lancerede en separat operation under ArmCorp-brandet. Fire måneder senere blev operationen omdøbt til The Gentlemen.

Timingen af denne overgang hang tæt sammen med en offentlig tvist mellem LARVA-368 og Qilin ransomware-operationen. Trusselsaktøren beskyldte Qilin for at udføre et exit-svindelnummer og tilbageholde cirka 48.000 dollars i indtjening.

For at styrke sin markedstilstedeværelse inden for undergrundsfællesskaber har Phantom Mantis investeret i premium-medlemskaber på cyberkriminelle fora. Kommunikation og tekniske supportfunktioner håndteres i vid udstrækning af en separat russisktalende persona kendt som The Gentlemen Data.

Et modent og hurtigt voksende ransomware-økosystem

Sikkerhedsforskere karakteriserer The Gentlemen som en yderst tilpasningsdygtig og hurtigt udviklende ransomware-operation, der kombinerer traditionelle ransomware-teknikker med moderne RaaS-funktioner. Dens operationelle model inkorporerer dobbelt afpresning, ransomware-varianter på tværs af platforme, fleksible spredningsmekanismer og omfattende affiliate-support.

Gruppen har hurtigt udviklet sig til en af de mest aktive ransomware-aktører i trusselsbilledet og tegner sig for cirka 10 % af al observeret ransomware-aktivitet i april 2026. Angrebskampagner følger typisk en virksomhedsfokuseret indtrængningskæde, der begynder gennem sårbare internetvendte tjenester eller kompromitterede legitimationsoplysninger.

Analyse tyder yderligere på, at operatører dynamisk kan ændre taktikker under indtrængen. Aktiviteterne har omfattet manipulation af Group Policy Objects (GPO'er), kompromittering af privilegerede konti og implementering af tilpassede teknikker designet til at omgå sikkerhedskontroller for slutpunkter.

Offerfordelingen indikerer et overvejende internationalt fokus. Kun omkring 13 % af de kendte ofre befinder sig i USA, mens de højeste koncentrationer af ofre er observeret i Thailand, Storbritannien, Brasilien, Tyskland og Indien.

Affiliate Support og kriminelle forretningsaktiviteter

The Gentlemen opretholder et struktureret affiliate-økosystem, der understøttes direkte af LARVA-368. Dedikerede konti på The Gentlemen IM-platformen yder assistance til krypteringsprocesser og indtrængningsrelaterede udfordringer, herunder adgang til EDR-bypass-værktøjer, der udnytter Bring Your Own Vulnerable Driver (BYOVD)-teknikker.

Supporttjenester til både The Gentlemen og The Gentlemen Data er tilgængelige via beskedplatformene Tox, SimpleX Chat og Ricochet Refresh. Potentielle partnere skal indsende mindst 1 GB stjålne offerdata, før de får adgang til partnerportalen. Dette krav ser ud til at have til formål at forhindre forskere og retshåndhævende myndigheder i at infiltrere platformen ved at udgive sig for at være partnere.

Portalen til administration af partnere muliggør brugeradministration, målkonfiguration og styring af ransomware-implementering. For at tiltrække deltagere fremmer operationen en aggressiv indtægtsdelingsstruktur, der allokerer 90% af overskuddet til partnere og 10% til operatørerne.

Teknisk infrastruktur og angrebsmetodik

Gruppen tilbyder fem ransomware-varianter, der er designet til at målrette Windows-, Linux-, ESXi-, Windows XP- og nyere systemer samt miljøer, der bruger Logical Volume Manager (LVM). Indledende adgangsoperationer fokuserer typisk på internetvendt infrastruktur såsom VPN-apparater, firewalls og edge-enheder.

Indbrudslivscyklussen omfatter et bredt arsenal af offensive værktøjer og teknikker:

  • Red-team-værktøjer som NetExec, RelayKing, TaskHound, PrivHound og CertiHound bruges til Active Directory-rekognoscering, certifikatmisbrug, privilegieeskalering og netværksdelingsregistrering. Yderligere værktøjer, herunder EDRStartupHinder, gfreeze, glinker og DumpBrowserSecrets, letter forsvarsunddragelse og tyveri af legitimationsoplysninger, mens Velociraptor understøtter kommando- og kontrolaktiviteter.
  • Handlinger efter kompromittering omfatter ofte rydning af Windows system-, program- og sikkerhedshændelseslogfiler, deaktivering af Microsoft Defender og oprettelse af antivirusudelukkelser for at reducere mulighederne for opdagelse.

Ransomwaren anvender en hybrid krypteringsmodel, der kombinerer X25519-nøgleudveksling med symmetrisk XChaCha20-kryptering. Forskere, der sporer aktivitetsklyngen som Storm-2697, har fastslået, at malwaren er skrevet i Go og forvirret ved hjælp af Garble.

En særlig farlig funktion aktiveres gennem parameteren '--spread', som konverterer ransomware fra en krypteringsmaskine med én vært til en selvudbredende orm, der er i stand til at distribuere sig selv på tværs af tilgængelige netværkssystemer. Når den udføres med argumentet '--wipe', udfører malwaren yderligere handlinger, der har til formål at eliminere gendannelige artefakter efter kryptering.

Afpresningstaktikker og operationel smidighed

Beviser tyder på, at The Gentlemen anvender en flerkanals afpresningsstrategi, der rækker ud over ransomware-implementering. Ofre kan også blive udsat for direkte e-mailkommunikation og telefonbaserede preskampagner, der har til formål at øge sandsynligheden for betaling.

Gruppens udviklingscyklus viser en usædvanlig høj grad af respons. Et bemærkelsesværdigt eksempel fandt sted i april 2026, da operatører udgav en patch samme dag, som en dekrypteringssoftware blev offentligt tilgængelig.

Indbrud forbliver typisk uopdaget i perioder fra to til seks uger, før kryptering udføres. Organisationer, der driver VMware-infrastruktur, synes at være et særligt fokusområde for målrettede indsatser.

Interne lækager afslører organisationsstruktur

Et betydeligt gennembrud i efterretningstjenesten fandt sted i maj 2026 efter afsløringen af en intern Rocket.Chat-database, som gruppen brugte. Lækket indeholdt 3.366 beskeder, der blev udvekslet mellem november 2025 og slutningen af april 2026, hvilket gav værdifuld indsigt i operationens interne struktur og arbejdsgange.

Kommunikationen afslørede en klar ansvarsfordeling mellem medlemmerne og dokumenterede brugen af sårbarheder, der påvirkede VMware Aria Operations, Fortinet, Cisco og Microsofts teknologier. Optegnelserne viste en velorganiseret kriminel virksomhed med specialiserede roller, der understøtter forskellige faser af angrebsoperationer.

De lækkede oplysninger viste også aktiv overvågning og evaluering af nye sårbarheder, herunder CVE-2024-55591, CVE-2025-32433 og CVE-2025-33073. Disse angreb blev kombineret med yderligere angrebsveje, der involverede misbrug af backupsystemer, kompromittering af management-controllers og NTLM-relæteknikker, hvilket skabte en yderst fleksibel udnyttelsesramme.

Eksponering af et komplet operatørværktøjssæt

I marts 2026 identificerede cybersikkerhedsforskere en eksponeret mappe, der var hostet på Proton66 bulletproof-hostingtjenesten. Mappen indeholdt 126 filer tilskrevet en The Gentlemen RaaS-tilknyttet virksomhed og afslørede effektivt et komplet værktøjssæt til ransomware-operatører.

Det lækkede værktøjssæt dækkede næsten alle faser af angrebets livscyklus:

  • Rekognoscering og offerprofilering
  • Privilegietætkering
  • Forsvarsunddragelse
  • Tyveri af legitimationsoplysninger
  • Lateral bevægelse
  • Persistensmekanismer
  • Forberedelsesaktiviteter før kryptering

    • Værktøjskassens bredde fremhævede økosystemets operationelle modenhed og gav et sjældent glimt af de ressourcer, der er tilgængelige for partnere.

    Truslen bag brandet

    LARVA-368 har været involveret i afpresningsfokuseret cyberkriminel aktivitet siden mindst 2020. Erfaring opnået gennem samarbejde med flere ransomware-operationer synes at have givet den tekniske ekspertise, operationelle viden og det kriminelle netværk, der er nødvendigt for at etablere og skalere The Gentlemen til en betydelig uafhængig RaaS-virksomhed.

    Operationens kombination af teknisk sofistikering, affiliate-fokuserede forretningspraksis, hurtige udviklingscyklusser og aggressive afpresningstaktikker har placeret The Gentlemen blandt de mest fremtrædende ransomware-trusler, som organisationer verden over i øjeblikket står over for.

    Trending

    Mest sete

    Indlæser...