Monen lisenssin alennustarjous
Uhatietokanta Ransomware The Gentlemen Ransomware

The Gentlemen Ransomware

Vuonna Mezo vuonna Ransomware, Advanced Persistent Threat (APT)
Käännä:

Gentlemen-operaatiota koskevat tutkimukset paljastavat, että taloudellisesti motivoitunut uhkaryhmä toimi alun perin tytäryhtiönä, joka suoritti kaksoiskiristyshyökkäyksiä hyödyntäen useiden Ransomware-as-a-Service (RaaS) -ekosysteemien, kuten LockBitin, Qilinin ja Medusan, tarjoamaa infrastruktuuria ja resursseja.

Useat tutkijat seuraavat operaatiota nimellä Phantom Mantis, ja sitä johtaa venäjänkielinen kyberrikollinen, joka tunnistettiin nimellä LARVA-368. Tämä henkilö on yhdistetty useisiin verkkoaliasiin, kuten hastalamuerte, ArmCorp, zeta88, nobody0 ja santamuerte. Maaliskuusta 2025 lähtien aktiivinen ryhmä on julkisesti ottanut vastuun 478 uhrista.

Uhkaryhmän ilmaantuminen

Merkittävä muutos tapahtui heinäkuussa 2025, kun Phantom Mantis kehittyi The Gentlemeniksi, itsenäiseksi kumppanuusohjelmaksi, joka ei enää ole riippuvainen ulkoisista RaaS-operaattoreista. Muutokseen liittyi laaja tekoälyn käyttö kiristysohjelmien kehittämisen, työkalujen ylläpidon ja hyväksikäytön jälkeisten toimien tukena.

Uhkatietojen arviot osoittavat, että LARVA-368 toimi aiemmin Embargo-kiristysohjelmaryhmän sisällä ennen kuin se käynnisti erillisen operaation ArmCorp-brändin alla. Neljä kuukautta myöhemmin operaatio nimettiin uudelleen The Gentlemeniksi.

Tämän siirtymän ajoitus oli läheisesti yhdenmukainen LARVA-368:n ja Qilinin kiristyshaittaohjelmaoperaation välisen julkisen kiistan kanssa. Uhkatoimija syytti Qilinia exit-huijauksesta ja noin 48 000 dollarin tulojen pidättämisestä.

Vahvistaakseen markkina-asemaansa maanalaisissa yhteisöissä Phantom Mantis on investoinut premium-jäsenyyksiin kyberrikollisfoorumeilla. Viestintää ja teknistä tukea hallinnoi pääosin erillinen venäjänkielinen henkilö nimeltä The Gentlemen Data.

Kypsä ja nopeasti kasvava kiristyshaittaohjelmien ekosysteemi

Tietoturvatutkijat kuvaavat The Gentlemeniä erittäin mukautuvaksi ja nopeasti kehittyväksi kiristyshaittaohjelmaoperaatioksi, joka yhdistää perinteiset kiristyshaittaohjelmatekniikat moderneihin RaaS-ominaisuuksiin. Sen toimintamalli sisältää kaksoiskiristyksen, alustojen väliset kiristyshaittaohjelmamuunnelmat, joustavat leviämismekanismit ja laajan kumppanuustuen.

Ryhmästä on nopeasti tullut yksi aktiivisimmista kiristyshaittaohjelmien käyttäjistä uhkakentässä, ja se vastasi noin 10 prosentista kaikesta havaitusta kiristyshaittaohjelmatoiminnasta huhtikuussa 2026. Hyökkäyskampanjat seuraavat tyypillisesti yrityskeskeistä tunkeutumisketjua, joka alkaa haavoittuvien internet-palveluiden tai vaarantuneiden tunnistetietojen kautta.

Analyysi viittaa edelleen siihen, että operaattorit voivat dynaamisesti muokata taktiikoita tunkeutumisten aikana. Toimintaan on kuulunut ryhmäkäytäntöobjektien (GPO) manipulointi, etuoikeutettujen tilien vaarantaminen ja räätälöityjen tekniikoiden käyttöönotto päätepisteiden tietoturvakontrollien kiertämiseksi.

Uhrien jakautuminen osoittaa pääasiassa kansainvälistä painopistettä. Vain noin 13 % tunnetuista uhreista sijaitsee Yhdysvalloissa, kun taas suurimmat uhripitoisuudet on havaittu Thaimaassa, Yhdistyneessä kuningaskunnassa, Brasiliassa, Saksassa ja Intiassa.

Kumppanuustuki ja rikollinen liiketoiminta

The Gentlemen ylläpitää jäsenneltyä kumppanuusekosysteemiä, jota tukee suoraan LARVA-368. The Gentlemen IM -alustalla olevat erilliset tilit tarjoavat apua salausprosesseissa ja tunkeutumiseen liittyvissä haasteissa, mukaan lukien pääsy EDR-ohitustyökaluihin, jotka hyödyntävät Bring Your Own Vulnerable Driver (BYOVD) -tekniikoita.

Sekä The Gentlemenin että The Gentlemen Datan tukipalvelut ovat saatavilla Toxin, SimpleX Chatin ja Ricochet Refreshin viestialustojen kautta. Mahdollisten yhteistyökumppaneiden on toimitettava vähintään 1 Gt varastettuja uhritietoja ennen kuin he saavat pääsyn yhteistyökumppaniportaaliin. Tämän vaatimuksen tarkoituksena näyttää olevan estää tutkijoita ja lainvalvontaviranomaisia soluttautumasta alustalle esiintymällä yhteistyökumppaneina.

Kumppanuusohjelmien hallintaportaali mahdollistaa käyttäjien hallinnan, kohteiden konfiguroinnin ja kiristysohjelmien käyttöönoton hallinnan. Osallistujien houkuttelemiseksi operaatio edistää aggressiivista tulonjakorakennetta, jossa 90 % voitoista kohdennetaan kumppaneille ja 10 % operaattoreille.

Tekninen infrastruktuuri ja hyökkäysmenetelmä

Ryhmä tarjoaa viisi kiristysohjelmamuunnosta, jotka on suunniteltu kohdistamaan toimenpiteitä Windows-, Linux-, ESXi-, Windows XP- ja uudempiin järjestelmiin sekä Logical Volume Manageria (LVM) käyttäviin ympäristöihin. Alkuperäiset käyttöoperaatiot keskittyvät yleensä internetiin yhdistettyyn infrastruktuuriin, kuten VPN-laitteisiin, palomuureihin ja reunalaitteisiin.

Tunkeutumisen elinkaari sisältää laajan valikoiman hyökkäystyökaluja ja -tekniikoita:

  • Red-team-apuohjelmia, kuten NetExec, RelayKing, TaskHound, PrivHound ja CertiHound, käytetään Active Directory -tiedusteluun, varmenteiden väärinkäyttöön, oikeuksien eskalointiin ja verkkoresurssien löytämiseen. Lisätyökaluja, kuten EDRStartupHinder, gfreeze, glinker ja DumpBrowserSecrets, käytetään puolustusväistöksiin ja tunnistetietojen varastamiseen, kun taas Velociraptor tukee komento- ja hallintatoimintoja.
  • Tietoturvauhkien jälkeisiin toimiin kuuluvat usein Windowsin järjestelmä-, sovellus- ja tietoturvatapahtumalokien tyhjentäminen, Microsoft Defenderin poistaminen käytöstä ja virustorjuntaohjelmien poissulkemisten luominen havaitsemismahdollisuuksien vähentämiseksi.

Kiristyshaittaohjelma käyttää hybridi-salausmallia, joka yhdistää X25519-avaimenvaihdon ja symmetrisen XChaCha20-salauksen. Storm-2697-aktiviteettiryppäänä seuranneet tutkijat havaitsivat, että haittaohjelma on kirjoitettu Go-kielellä ja obfuskoitu Garble-avaimen avulla.

Erityisen vaarallinen ominaisuus otetaan käyttöön '--spread'-parametrin kautta, joka muuntaa kiristysohjelman yhden isännän salaajasta itseään levittäväksi matoksi, joka pystyy levittämään itseään saavutettavissa oleviin verkkojärjestelmiin. Kun haittaohjelma suoritetaan '--wipe'-argumentilla, se suorittaa lisätoimia, joiden tarkoituksena on poistaa salauksen jälkeen palautettavissa olevat esineet.

Kiristystaktiikat ja operatiivinen ketteryys

Todisteet viittaavat siihen, että The Gentlemen käyttää monikanavaista kiristysstrategiaa, joka ulottuu kiristysohjelmien käyttöönoton ulkopuolelle. Uhrit voivat kohdata myös suoria sähköpostiviestejä ja puhelinpohjaisia painostuskampanjoita, joiden tarkoituksena on lisätä maksun todennäköisyyttä.

Ryhmän kehityssykli osoittaa epätavallisen korkeaa reagointikykyä. Yksi merkittävä esimerkki tästä oli huhtikuussa 2026, kun operaattorit julkaisivat korjauspäivityksen samana päivänä, kun salauksenpurkuohjelma tuli julkisesti saataville.

Tunkeutumiset pysyvät tyypillisesti havaitsematta kahdesta kuuteen viikkoa ennen salauksen suorittamista. VMware-infrastruktuuria ylläpitävät organisaatiot näyttävät olevan erityisen kohdistettujen toimien kohteena.

Sisäiset vuodot paljastavat organisaatiorakenteen

Merkittävä tiedustelutietojen läpimurto tapahtui toukokuussa 2026, kun ryhmän käyttämä sisäinen Rocket.Chat-tietokanta paljastui. Vuoto sisälsi 3 366 viestiä, jotka oli vaihdettu marraskuun 2025 ja huhtikuun lopun 2026 välisenä aikana, ja antoi arvokasta tietoa operaation sisäisestä rakenteesta ja työnkuluista.

Viestintä paljasti selkeän vastuunjaon jäsenten välillä ja dokumentoi VMware Aria Operationsin, Fortinetin, Ciscon ja Microsoftin teknologioihin vaikuttavien haavoittuvuuksien käyttöä. Asiakirjat kuvasivat hyvin organisoitua rikollista toimintaa, jolla oli erikoistuneita rooleja hyökkäysoperaatioiden eri vaiheiden tukemiseksi.

Vuodetut tiedot osoittivat myös aktiivista uusien haavoittuvuuksien, kuten CVE-2024-55591:n, CVE-2025-32433:n ja CVE-2025-33073:n, seurantaa ja arviointia. Näitä hyväksikäyttöjä yhdistettiin muihin hyökkäyspolkuihin, jotka sisälsivät varmuuskopiojärjestelmän väärinkäytöksiä, hallintajärjestelmän ja ohjainten vaarantamista sekä NTLM-välitystekniikoita, mikä loi erittäin joustavan hyväksikäyttökehyksen.

Täydellisen operaattorin työkalupakin esittely

Maaliskuussa 2026 kyberturvallisuustutkijat tunnistivat Proton66-luoteproof-hostingpalvelussa isännöidyn paljastetun hakemiston. Hakemisto sisälsi 126 tiedostoa, jotka oli liitetty The Gentlemen RaaS -tytäryhtiöön, ja paljasti käytännössä täydellisen kiristysohjelmaoperaattorin työkalupakin.

Vuotanut työkalupakki kattoi lähes kaikki hyökkäyksen elinkaaren vaiheet:

  • Tiedustelu ja uhrien profilointi
  • Etuoikeuksien eskalointi
  • Puolustuksen väistö
  • Valtakirjojen varastaminen
  • Sivuttaisliike
  • Pysyvyysmekanismit
  • Salausta edeltävät valmistelutoimet

Työkalupakin laajuus korosti ekosysteemin toiminnallista kypsyyttä ja tarjosi harvinaisen kurkistuksen yhteistyökumppaneiden käytettävissä oleviin resursseihin.

Brändin takana piilevä uhka

LARVA-368 on ollut mukana kiristykseen keskittyvässä kyberrikollisuudessa ainakin vuodesta 2020 lähtien. Useiden kiristyshaittaohjelmien kanssa tehtävästä yhteistyöstä saatu kokemus näyttää antaneen tarvittavan teknisen asiantuntemuksen, operatiivisen tiedon ja rikollisverkoston The Gentlemenin perustamiseksi ja skaalaamiseksi merkittäväksi itsenäiseksi RaaS-yritykseksi.

Operaation yhdistelmä teknistä hienostuneisuutta, kumppanuuspohjaisia liiketoimintatapoja, nopeita kehityssyklejä ja aggressiivisia kiristystaktiikoita on asettanut The Gentlemenin yhdeksi merkittävimmistä kiristysohjelmauhista, joita organisaatiot kohtaavat maailmanlaajuisesti.

Trendaavat

Eniten katsottu

Ladataan...