Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Lunavara The Gentlemen Ransomware

The Gentlemen Ransomware

Aastaks Mezo aastal Lunavara, Täiustatud püsiv oht (APT)
Tõlgi:

Operatsiooni "The Gentlemen" uurimised näitavad, et rahaliselt motiveeritud ohurühmitus tegutses algselt sidusettevõttena, viies läbi topeltväljapressimisrünnakuid, kasutades ära mitmete lunavarateenusena (RaaS) ökosüsteemide, sealhulgas LockBiti, Qilini ja Medusa pakutavat infrastruktuuri ja ressursse.

Operatsiooni jälgivad mitmed uurijad nime Phantom Mantis all ning seda juhib venekeelne küberkurjategija, kelle identifitseerimise aluseks on LARVA-368. Seda isikut on seostatud mitmete veebivarjunimedega, sealhulgas hastalamuerte, ArmCorp, zeta88, nobody0 ja santamuerte. Alates 2025. aasta märtsist aktiivne olnud rühmitus on avalikult võtnud vastutuse 478 ohvri eest.

Ohurühma tekkimine

Suur muutus toimus 2025. aasta juulis, kui Phantom Mantis arenes The Gentlemeniks – iseseisvaks partnerlusprogrammiks, mis ei sõltu enam välistest RaaS-operaatoritest. Üleminekuga kaasnes ulatuslik tehisintellekti kasutamine lunavara arendamise, tööriistade hoolduse ja ärakasutamise järgse tegevuse toetamiseks.

Ohuanalüüsi tulemused näitavad, et LARVA-368 tegutses varem Embargo lunavaragrupi koosseisus, enne kui käivitas eraldi operatsiooni ArmCorpi kaubamärgi all. Neli kuud hiljem nimetati operatsioon ümber The Gentlemeniks.

Selle ülemineku ajastus oli tihedalt seotud avaliku vaidlusega LARVA-368 ja Qilini lunavaraoperatsiooni vahel. Ohtlik tegelane süüdistas Qilinit väljumispettuse läbiviimises ja ligikaudu 48 000 dollari suuruse tulu kinnipidamises.

Turupositsiooni tugevdamiseks põrandaalustes kogukondades on Phantom Mantis investeerinud küberkurjategijate foorumite premium-liikmelisustesse. Suhtlus- ja tehnilise toe funktsioone haldab suures osas eraldi venekeelne isik, keda tuntakse nimega The Gentlemen Data.

Küps ja kiiresti kasvav lunavara ökosüsteem

Turvauurijad iseloomustavad The Gentlemeni kui väga kohanemisvõimelist ja kiiresti arenevat lunavaraoperatsiooni, mis ühendab traditsioonilised lunavaratehnikad kaasaegsete RaaS-võimalustega. Selle tegevusmudel hõlmab topeltväljapressimist, platvormideüleseid lunavaravariante, paindlikke levimismehhanisme ja ulatuslikku partnerlusprogrammide tuge.

Rühmitus on kiiresti tõusnud üheks aktiivsemaks lunavararünnakute tegijaks ohumaastikul, moodustades 2026. aasta aprillis ligikaudu 10% kogu täheldatud lunavarategevusest. Rünnakukampaaniad järgivad tavaliselt ettevõttekeskset sissetungimisahelat, mis algab haavatavate internetipõhiste teenuste või ohustatud volituste kaudu.

Analüüs näitab lisaks, et operaatorid saavad sissetungide ajal taktikat dünaamiliselt muuta. Tegevuste hulka on kuulunud grupipoliitika objektide (GPO) manipuleerimine, privilegeeritud kontode ohtu seadmine ja kohandatud tehnikate rakendamine, mis on loodud lõpp-punkti turvakontrollide vältimiseks.

Ohvrite jaotus näitab valdavalt rahvusvahelist fookust. Ainult umbes 13% teadaolevatest ohvritest asub Ameerika Ühendriikides, samas kui suurimat ohvrite kontsentratsiooni on täheldatud Tais, Ühendkuningriigis, Brasiilias, Saksamaal ja Indias.

Partnerlussuhete ja kriminaalse äritegevuse tugi

The Gentlemen haldab struktureeritud partnerlusvõrgustikku, mida toetab otse LARVA-368. The Gentlemeni kiirsõnumiplatvormi spetsiaalsed kontod pakuvad tuge krüpteerimisprotsesside ja sissetungidega seotud probleemide korral, sealhulgas juurdepääsu EDR-i möödaviigutööriistadele, mis kasutavad oma haavatava draiveri kaasavõtmise (BYOVD) tehnikaid.

Nii The Gentlemeni kui ka The Gentlemen Data tugiteenused on saadaval sõnumsideplatvormide Tox, SimpleX Chat ja Ricochet Refresh kaudu. Potentsiaalsed partnerid peavad enne partneriportaalile juurdepääsu saamist esitama vähemalt 1 GB varastatud ohvriandmeid. See nõue näib olevat mõeldud selleks, et takistada teadlastel ja õiguskaitseasutustel platvormile imbumist partneritena esinedes.

Partnerlusprogrammide haldusportaal võimaldab kasutajate haldamist, sihtmärkide seadistamist ja lunavara juurutamise haldamist. Osalejate ligimeelitamiseks edendab operatsioon agressiivset tulude jagamise struktuuri, mis eraldab 90% kasumist partneritele ja 10% operaatoritele.

Tehniline infrastruktuur ja rünnakumetoodika

Grupp pakub viit lunavara varianti, mis on loodud Windowsi, Linuxi, ESXi, Windows XP ja uuemate süsteemide ning Logical Volume Managerit (LVM) kasutavate keskkondade sihtimiseks. Esialgsed juurdepääsutoimingud keskenduvad tavaliselt internetiühendusega infrastruktuurile, nagu VPN-seadmed, tulemüürid ja servaseadmed.

Sissetungimise elutsükkel hõlmab laia valikut ründavaid tööriistu ja tehnikaid:

  • Punase meeskonna utiliite nagu NetExec, RelayKing, TaskHound, PrivHound ja CertiHound kasutatakse Active Directory luureks, sertifikaatide kuritarvitamiseks, õiguste eskaleerimiseks ja võrgu ühiskasutuse avastamiseks. Lisatööriistad nagu EDRStartupHinder, gfreeze, glinker ja DumpBrowserSecrets hõlbustavad kaitsest kõrvalehoidumist ja volituste vargust, samas kui Velociraptor toetab käsklus- ja kontrolltegevusi.
  • Pärast ohtu sattumist tehakse sageli Windowsi süsteemi-, rakenduse- ja turbesündmuste logide kustutamist, Microsoft Defenderi keelamist ja viirusetõrjeprogrammide erandite loomist tuvastamisvõimaluste vähendamiseks.

Lunavara kasutab hübriidset krüpteerimismudelit, mis ühendab X25519 võtmevahetuse XChaCha20 sümmeetrilise krüpteerimisega. Teadlased, kes jälgisid tegevusklastrit Storm-2697, tegid kindlaks, et pahavara on kirjutatud Go keeles ja hägustatud Garble'i abil.

Eriti ohtlik funktsioon on lubatud parameetri '--spread' kaudu, mis teisendab lunavara ühe hostiga krüpteerijast isepaljunevaks ussiks, mis on võimeline levima kättesaadavates võrgusüsteemides. Argumendiga '--wipe' käivitamisel teeb pahavara täiendavaid toiminguid, mille eesmärk on pärast krüpteerimist taastatavate esemete kõrvaldamine.

Väljapressimistaktika ja operatiivne paindlikkus

Tõendid viitavad sellele, et The Gentlemen kasutab mitmekanalilist väljapressimisstrateegiat, mis ulatub lunavara juurutamisest kaugemale. Ohvrid võivad silmitsi seista ka otse e-posti teel suhtlemise ja telefonipõhiste survekampaaniatega, mille eesmärk on suurendada makse tõenäosust.

Grupi arendustsükkel näitab ebatavaliselt kõrget reageerimisvõimet. Üks tähelepanuväärne näide leidis aset 2026. aasta aprillis, kui operaatorid avaldasid paranduse samal päeval, kui dekrüpteerija avalikult kättesaadavaks muutus.

Sissetungid jäävad tavaliselt avastamata kahe kuni kuue nädala jooksul enne krüpteerimise käivitamist. VMware'i infrastruktuuri haldavad organisatsioonid näivad olevat sihtmärgiks võetud.

Sisemised lekked paljastavad organisatsioonilise struktuuri

Märkimisväärne luurealane läbimurre toimus 2026. aasta mais pärast rühmituse poolt kasutatava sisemise Rocket.Chat andmebaasi avalikustamist. Lekke sisuks oli 3366 sõnumit, mis vahetati 2025. aasta novembri ja 2026. aasta aprilli lõpu vahel, andes väärtuslikku teavet operatsiooni sisemise struktuuri ja töövoogude kohta.

Suhtlus paljastas liikmete selge vastutuse jaotuse ning dokumenteeris VMware Aria Operationsi, Fortineti, Cisco ja Microsofti tehnoloogiaid mõjutavate haavatavuste kasutamist. Andmed kujutasid hästi organiseeritud kuritegelikku ettevõtet, millel olid spetsialiseerunud rollid rünnakuoperatsioonide eri etappide toetamiseks.

Lekkinud teave näitas ka tekkivate haavatavuste, sealhulgas CVE-2024-55591, CVE-2025-32433 ja CVE-2025-33073, aktiivset jälgimist ja hindamist. Neid ärakasutamisvõimalusi kombineeriti täiendavate rünnakuteedega, mis hõlmasid varusüsteemi kuritarvitamist, halduskontrolleri ohtu seadmist ja NTLM-edastustehnikaid, luues väga paindliku ärakasutamise raamistiku.

Täieliku operaatori tööriistakomplekti tutvustus

2026. aasta märtsis tuvastasid küberturvalisuse uurijad Proton66 bulletproof-hostimisteenuses majutatud ohustatud kataloogi. Kataloog sisaldas 126 faili, mis olid omistatud The Gentlemen RaaS-i sidusettevõttele, ja paljastas sisuliselt täieliku lunavara halduri tööriistakomplekti.

Lekkinud tööriistakomplekt hõlmas peaaegu kõiki rünnaku elutsükli etappe:

  • Luure ja ohvrite profiilide koostamine
  • Privileegide eskaleerumine
  • Kaitses kõrvalehoidumine
  • Volituste vargus
  • Külgmine liikumine
  • Püsivuse mehhanismid
  • Krüpteerimiseelsed ettevalmistustegevused

Tööriistakomplekti ulatus rõhutas ökosüsteemi tegevusalast küpsust ja andis haruldase pilguheite sidusettevõtetele kättesaadavatesse ressurssidesse.

Brändi taga peituv oht

LARVA-368 on olnud seotud väljapressimisele suunatud küberkuritegevusega vähemalt alates 2020. aastast. Mitme lunavaraoperatsiooniga koostöö kaudu omandatud kogemused näivad olevat andnud tehnilise oskusteabe, operatiivsed teadmised ja kuritegeliku võrgustiku, mis on vajalikud The Gentlemeni loomiseks ja laiendamiseks oluliseks iseseisvaks RaaS-ettevõtteks.

Operatsiooni tehnilise keerukuse, sidusettevõtetele keskendunud äritavade, kiirete arendustsüklite ja agressiivsete väljapressimistaktikate kombinatsioon on paigutanud The Gentlemeni üheks silmapaistvamaks lunavaraohuks, millega organisatsioonid kogu maailmas silmitsi seisavad.

Trendikas

Enim vaadatud

Laadimine...