Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Ransomware The Gentlemen Ransomware

The Gentlemen Ransomware

Μέχρι το Mezo το Ransomware, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Οι έρευνες για την επιχείρηση The Gentlemen αποκαλύπτουν ότι η οικονομικά κίνητρα ομάδα απειλών λειτουργούσε αρχικά ως θυγατρική, πραγματοποιώντας επιθέσεις διπλού εκβιασμού, αξιοποιώντας παράλληλα την υποδομή και τους πόρους που παρέχονται από πολλαπλά οικοσυστήματα Ransomware-as-a-Service (RaaS), συμπεριλαμβανομένων των LockBit, Qilin και Medusa.

Η επιχείρηση παρακολουθείται από διάφορους ερευνητές με το όνομα Phantom Mantis και διευθύνεται από έναν ρωσόφωνο κυβερνοεγκληματία που αναγνωρίζεται ως LARVA-368. Αυτό το άτομο έχει συσχετιστεί με πολλά διαδικτυακά ψευδώνυμα, όπως τα hastalamuerte, ArmCorp, zeta88, nobody0 και santamuerte. Ενεργή από τον Μάρτιο του 2025, η ομάδα έχει αναλάβει δημόσια την ευθύνη για 478 θύματα.

Η εμφάνιση της Ομάδας Απειλών

Ένας σημαντικός μετασχηματισμός έλαβε χώρα τον Ιούλιο του 2025, όταν το Phantom Mantis εξελίχθηκε στο The Gentlemen, ένα ανεξάρτητο πρόγραμμα συνεργασίας που δεν εξαρτάται πλέον από εξωτερικούς χειριστές RaaS. Η μετάβαση συνοδεύτηκε από εκτεταμένη χρήση τεχνητής νοημοσύνης για την υποστήριξη της ανάπτυξης ransomware, της συντήρησης εργαλείων και των δραστηριοτήτων μετά την εκμετάλλευση.

Οι αξιολογήσεις πληροφοριών για απειλές δείχνουν ότι η LARVA-368 λειτουργούσε προηγουμένως εντός της ομάδας ransomware Embargo πριν ξεκινήσει μια ξεχωριστή επιχείρηση υπό την επωνυμία ArmCorp. Τέσσερις μήνες αργότερα, η επιχείρηση μετονομάστηκε σε The Gentlemen.

Ο χρόνος αυτής της μετάβασης ήταν στενά συνδεδεμένος με μια δημόσια διαμάχη μεταξύ του LARVA-368 και της επιχείρησης ransomware Qilin. Ο απειλητικός παράγοντας κατηγόρησε τον Qilin ότι διεξήγαγε μια απάτη εξόδου και παρακράτησε περίπου 48.000 δολάρια σε κέρδη.

Για να ενισχύσει την παρουσία της στην αγορά εντός των underground κοινοτήτων, η Phantom Mantis έχει επενδύσει σε premium συνδρομές σε φόρουμ κυβερνοεγκληματιών. Οι λειτουργίες επικοινωνίας και τεχνικής υποστήριξης διαχειρίζονται σε μεγάλο βαθμό από ένα ξεχωριστό ρωσόφωνο πρόσωπο, γνωστό ως The Gentlemen Data.

Ένα ώριμο και ταχέως αναπτυσσόμενο οικοσύστημα ransomware

Οι ερευνητές ασφαλείας χαρακτηρίζουν το The Gentlemen ως μια εξαιρετικά προσαρμοστική και ταχέως εξελισσόμενη επιχείρηση ransomware που συνδυάζει τις παραδοσιακές τεχνικές ransomware με τις σύγχρονες δυνατότητες RaaS. Το λειτουργικό του μοντέλο ενσωματώνει διπλό εκβιασμό, παραλλαγές ransomware σε διάφορες πλατφόρμες, ευέλικτους μηχανισμούς διάδοσης και εκτεταμένη υποστήριξη συνεργατών.

Η ομάδα έχει αναδειχθεί γρήγορα ως ένας από τους πιο ενεργούς παράγοντες ransomware στο τοπίο των απειλών, αντιπροσωπεύοντας περίπου το 10% όλης της παρατηρούμενης δραστηριότητας ransomware κατά τη διάρκεια του Απριλίου 2026. Οι εκστρατείες επίθεσης ακολουθούν συνήθως μια αλυσίδα εισβολής που επικεντρώνεται σε επιχειρήσεις και ξεκινά μέσω ευάλωτων υπηρεσιών που συνδέονται με το διαδίκτυο ή παραβιασμένων διαπιστευτηρίων.

Η ανάλυση υποδηλώνει περαιτέρω ότι οι χειριστές μπορούν να τροποποιήσουν δυναμικά τις τακτικές κατά τη διάρκεια εισβολών. Οι δραστηριότητες περιλαμβάνουν τον χειρισμό αντικειμένων πολιτικής ομάδας (GPO), την παραβίαση προνομιακών λογαριασμών και την ανάπτυξη προσαρμοσμένων τεχνικών που έχουν σχεδιαστεί για να παρακάμπτουν τους ελέγχους ασφαλείας των τελικών σημείων.

Η κατανομή των θυμάτων υποδηλώνει κυρίως διεθνή εστίαση. Μόνο περίπου το 13% των γνωστών θυμάτων βρίσκονται στις Ηνωμένες Πολιτείες, ενώ οι υψηλότερες συγκεντρώσεις θυμάτων έχουν παρατηρηθεί στην Ταϊλάνδη, το Ηνωμένο Βασίλειο, τη Βραζιλία, τη Γερμανία και την Ινδία.

Υποστήριξη Συνεργατών και Εγκληματικές Επιχειρηματικές Δραστηριότητες

Η The Gentlemen διατηρεί ένα δομημένο οικοσύστημα συνεργατών που υποστηρίζεται απευθείας από την LARVA-368. Οι αποκλειστικοί λογαριασμοί στην πλατφόρμα IM της The Gentlemen παρέχουν βοήθεια για διαδικασίες κρυπτογράφησης και προκλήσεις που σχετίζονται με εισβολές, συμπεριλαμβανομένης της πρόσβασης σε εργαλεία παράκαμψης EDR που αξιοποιούν τις τεχνικές Bring Your Own Vulnerable Driver (BYOVD).

Υπηρεσίες υποστήριξης τόσο για το The Gentlemen όσο και για το The Gentlemen Data είναι διαθέσιμες μέσω των πλατφορμών ανταλλαγής μηνυμάτων Tox, SimpleX Chat και Ricochet Refresh. Οι υποψήφιοι συνεργάτες πρέπει να υποβάλουν τουλάχιστον 1 GB κλεμμένων δεδομένων θυμάτων πριν αποκτήσουν πρόσβαση στην πύλη συνεργατών. Αυτή η απαίτηση φαίνεται να αποσκοπεί στο να αποτρέψει ερευνητές και υπηρεσίες επιβολής του νόμου από το να διεισδύσουν στην πλατφόρμα παριστάνοντας τους συνεργάτες.

Η πύλη διαχείρισης συνεργατών επιτρέπει τη διαχείριση χρηστών, τη διαμόρφωση στόχων και τη διαχείριση της ανάπτυξης ransomware. Για να προσελκύσει συμμετέχοντες, η επιχείρηση προωθεί μια δυναμική δομή κατανομής εσόδων που κατανέμει το 90% των κερδών στους συνεργάτες και το 10% στους χειριστές.

Τεχνική Υποδομή και Μεθοδολογία Επίθεσης

Η ομάδα παρέχει πέντε παραλλαγές ransomware που έχουν σχεδιαστεί για να στοχεύουν συστήματα Windows, Linux, ESXi, Windows XP και νεότερες εκδόσεις, καθώς και περιβάλλοντα που χρησιμοποιούν Logical Volume Manager (LVM). Οι αρχικές λειτουργίες πρόσβασης επικεντρώνονται συνήθως σε υποδομές που συνδέονται με το διαδίκτυο, όπως συσκευές VPN, τείχη προστασίας και συσκευές edge.

Ο κύκλος ζωής της εισβολής ενσωματώνει ένα ευρύ οπλοστάσιο επιθετικών εργαλείων και τεχνικών:

  • Τα βοηθητικά προγράμματα της Red-team, όπως τα NetExec, RelayKing, TaskHound, PrivHound και CertiHound, χρησιμοποιούνται για την αναγνώριση της Active Directory, την κατάχρηση πιστοποιητικών, την κλιμάκωση δικαιωμάτων και την ανακάλυψη κοινόχρηστων στοιχείων δικτύου. Πρόσθετα εργαλεία, όπως τα EDRStartupHinder, gfreeze, glinker και DumpBrowserSecrets, διευκολύνουν την αμυντική αποφυγή και την κλοπή διαπιστευτηρίων, ενώ το Velociraptor υποστηρίζει δραστηριότητες εντολών και ελέγχου.
  • Οι ενέργειες μετά την παραβίαση περιλαμβάνουν συχνά την εκκαθάριση των αρχείων καταγραφής συμβάντων συστήματος, εφαρμογών και ασφαλείας των Windows, την απενεργοποίηση του Microsoft Defender και τη δημιουργία εξαιρέσεων από προγράμματα προστασίας από ιούς για τη μείωση των ευκαιριών ανίχνευσης.

Το ransomware χρησιμοποιεί ένα υβριδικό μοντέλο κρυπτογράφησης που συνδυάζει την ανταλλαγή κλειδιών X25519 με συμμετρική κρυπτογράφηση XChaCha20. Οι ερευνητές που παρακολουθούσαν το σύμπλεγμα δραστηριοτήτων καθώς το Storm-2697 διαπίστωσαν ότι το κακόβουλο λογισμικό είναι γραμμένο σε Go και έχει αποκρυπτογραφηθεί χρησιμοποιώντας Garble.

Μια ιδιαίτερα επικίνδυνη δυνατότητα ενεργοποιείται μέσω της παραμέτρου '--spread', η οποία μετατρέπει το ransomware από έναν κρυπτογραφητή ενός μόνο κεντρικού υπολογιστή σε έναν αυτοδιαδιδόμενο ιό τύπου worm ικανό να διανεμηθεί σε προσβάσιμα συστήματα δικτύου. Όταν εκτελείται με το όρισμα '--wipe', το κακόβουλο λογισμικό εκτελεί πρόσθετες ενέργειες που αποσκοπούν στην εξάλειψη των ανακτήσιμων αντικειμένων μετά την κρυπτογράφηση.

Τακτικές Εκβιασμού και Επιχειρησιακή Ευκινησία

Τα στοιχεία υποδηλώνουν ότι η The Gentlemen εφαρμόζει μια στρατηγική εκβιασμού πολλαπλών καναλιών που εκτείνεται πέρα από την ανάπτυξη ransomware. Τα θύματα ενδέχεται επίσης να αντιμετωπίσουν άμεσες επικοινωνίες μέσω email και τηλεφωνικές εκστρατείες πίεσης που έχουν σχεδιαστεί για να αυξήσουν την πιθανότητα πληρωμής.

Ο κύκλος ανάπτυξης της ομάδας καταδεικνύει ένα ασυνήθιστα υψηλό επίπεδο ανταπόκρισης. Ένα αξιοσημείωτο παράδειγμα συνέβη τον Απρίλιο του 2026, όταν οι φορείς εκμετάλλευσης κυκλοφόρησαν μια ενημέρωση κώδικα την ίδια ημέρα που ένα εργαλείο αποκρυπτογράφησης έγινε διαθέσιμο στο κοινό.

Οι εισβολές συνήθως παραμένουν απαρατήρητες για περιόδους που κυμαίνονται από δύο έως έξι εβδομάδες πριν από την εκτέλεση της κρυπτογράφησης. Οι οργανισμοί που λειτουργούν με υποδομή VMware φαίνεται να αποτελούν ιδιαίτερο επίκεντρο των προσπαθειών στόχευσης.

Εσωτερικές διαρροές αποκαλύπτουν οργανωτική δομή

Μια σημαντική ανακάλυψη στον τομέα των πληροφοριών σημειώθηκε τον Μάιο του 2026, μετά την αποκάλυψη μιας εσωτερικής βάσης δεδομένων Rocket.Chat που χρησιμοποιούσε η ομάδα. Η διαρροή περιείχε 3.366 μηνύματα που ανταλλάχθηκαν μεταξύ Νοεμβρίου 2025 και τέλους Απριλίου 2026, παρέχοντας πολύτιμες πληροφορίες για την εσωτερική δομή και τις ροές εργασίας της επιχείρησης.

Οι επικοινωνίες αποκάλυψαν μια σαφή κατανομή ευθυνών μεταξύ των μελών και κατέγραψαν τη χρήση τρωτών σημείων που επηρέαζαν τις τεχνολογίες VMware Aria Operations, Fortinet, Cisco και Microsoft. Τα αρχεία απεικόνιζαν μια καλά οργανωμένη εγκληματική επιχείρηση με εξειδικευμένους ρόλους που υποστήριζαν διαφορετικές φάσεις των επιχειρήσεων επίθεσης.

Οι πληροφορίες που διέρρευσαν έδειξαν επίσης ενεργή παρακολούθηση και αξιολόγηση αναδυόμενων ευπαθειών, συμπεριλαμβανομένων των CVE-2024-55591, CVE-2025-32433 και CVE-2025-33073. Αυτά τα exploits συνδυάστηκαν με πρόσθετες οδούς επίθεσης που περιελάμβαναν κατάχρηση συστήματος αντιγράφων ασφαλείας, παραβίαση ελεγκτή διαχείρισης και τεχνικές αναμετάδοσης NTLM, δημιουργώντας ένα εξαιρετικά ευέλικτο πλαίσιο εκμετάλλευσης.

Παρουσίαση ενός Πλήρους Κιτ Εργαλείων Χειριστή

Τον Μάρτιο του 2026, ερευνητές κυβερνοασφάλειας εντόπισαν έναν εκτεθειμένο κατάλογο που φιλοξενούνταν στην υπηρεσία φιλοξενίας Proton66 bulletproof. Ο κατάλογος περιείχε 126 αρχεία που αποδίδονταν σε έναν συνεργάτη του The Gentlemen RaaS και ουσιαστικά εξέθεσε ένα πλήρες κιτ εργαλείων χειριστή ransomware.

Το κιτ εργαλείων που διέρρευσε κάλυπτε σχεδόν κάθε στάδιο του κύκλου ζωής της επίθεσης:

  • Αναγνώριση και καταγραφή θυμάτων
  • Κλιμάκωση προνομίων
  • αμυντική αποφυγή
  • Κλοπή διαπιστευτηρίων
  • Πλευρική κίνηση
  • Μηχανισμοί επιμονής
  • Δραστηριότητες προετοιμασίας πριν από την κρυπτογράφηση

Το εύρος του κιτ εργαλείων ανέδειξε την επιχειρησιακή ωριμότητα του οικοσυστήματος και παρείχε μια σπάνια ματιά στους πόρους που είναι διαθέσιμοι στους συνεργάτες.

Η απειλή πίσω από την επωνυμία

Η LARVA-368 εμπλέκεται σε εγκληματική δραστηριότητα στον κυβερνοχώρο με επίκεντρο τον εκβιασμό τουλάχιστον από το 2020. Η εμπειρία που αποκτήθηκε μέσω συνεργασιών με πολλαπλές επιχειρήσεις ransomware φαίνεται να έχει παράσχει την τεχνική εμπειρογνωμοσύνη, τις επιχειρησιακές γνώσεις και το εγκληματικό δίκτυο που είναι απαραίτητα για τη δημιουργία και την κλιμάκωση του The Gentlemen σε μια σημαντική ανεξάρτητη επιχείρηση RaaS.

Ο συνδυασμός τεχνικής πολυπλοκότητας, επιχειρηματικών πρακτικών με επίκεντρο τις θυγατρικές, ταχέων κύκλων ανάπτυξης και επιθετικών τακτικών εκβιασμού της επιχείρησης έχει τοποθετήσει τους The Gentlemen μεταξύ των πιο σημαντικών απειλών ransomware που αντιμετωπίζουν σήμερα οργανισμοί παγκοσμίως.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...