The Gentlemen Ransomware

חקירות של מבצע "הג'נטלמנים" מגלות כי קבוצת האיומים, בעלת המוטיבציה הפיננסית, פעלה במקור כחברה קשורה שביצעה התקפות סחיטה כפולות, תוך מינוף תשתית ומשאבים שסופקו על ידי מספר מערכות אקולוגיות של תוכנות כופר כשירות (RaaS), כולל LockBit, Qilin ו-Medusa.

המבצע נמצא תחת מעקב של מספר חוקרים תחת השם Phantom Mantis, והוא מובל על ידי פושע סייבר דובר רוסית המזוהה כ-LARVA-368. אדם זה נקשר למספר שמות בדויים מקוונים, כולל hastalamuerte, ArmCorp, zeta88, nobody0 ו-santamuerte. הקבוצה, הפעילה מאז מרץ 2025, לקחה בפומבי אחריות על 478 קורבנות.

הופעתה של קבוצת האיום

ביולי 2025 התרחשה שינוי משמעותי כאשר Phantom Mantis התפתחה ל-The Gentlemen, תוכנית שותפויות עצמאית שאינה תלויה עוד במפעילי RaaS חיצוניים. המעבר לווה בשימוש נרחב בבינה מלאכותית לתמיכה בפיתוח תוכנות כופר, תחזוקת כלים ופעילויות לאחר ניצול.

הערכות מודיעין איומים מצביעות על כך ש-LARVA-368 פעל בעבר במסגרת קבוצת תוכנות הכופר Embargo לפני שהשיק פעילות נפרדת תחת המותג ArmCorp. ארבעה חודשים לאחר מכן, הפעילות שונה למותג The Gentlemen.

עיתוי המעבר הזה היה קשור קשר הדוק לסכסוך ציבורי בין LARVA-368 לבין מבצע הכופר Qilin. גורם האיום האשים את Qilin בביצוע הונאת יציאה ובהעלמת הכנסות של כ-48,000 דולר.

כדי לחזק את נוכחות השוק בקהילות מחתרתיות, Phantom Mantis השקיעה בחברות פרימיום בפורומים של פושעי סייבר. פונקציות התקשורת והתמיכה הטכנית מנוהלות במידה רבה על ידי דמות נפרדת דוברת רוסית המכונה The Gentlemen Data.

אקוסיסטם כופר בוגר וצומח במהירות

חוקרי אבטחה מאפיינים את The Gentlemen כמבצע כופר אדפטיבי ומתפתח במהירות, המשלב טכניקות כופר מסורתיות עם יכולות RaaS מודרניות. מודל ההפעלה שלו משלב סחיטה כפולה, גרסאות כופר חוצות פלטפורמות, מנגנוני הפצה גמישים ותמיכה נרחבת של שותפים.

הקבוצה התפתחה במהירות כאחת משחקניות הכופר הפעילות ביותר בנוף האיומים, והיא אחראית לכ-10% מכלל פעילות הכופר שנצפתה במהלך אפריל 2026. קמפיינים של תקיפה בדרך כלל עוקבים אחר שרשרת חדירות ממוקדת ארגונית שמתחילה דרך שירותים פגיעים הפונים לאינטרנט או אישורים שנפגעו.

ניתוח נוסף מצביע על כך שמפעילים יכולים לשנות טקטיקות באופן דינמי במהלך חדירות. הפעילויות כללו מניפולציה של אובייקטי מדיניות קבוצתית (GPO), פגיעה בחשבונות פריבילגיים ופריסת טכניקות מותאמות אישית שנועדו להתחמק מבקרות אבטחה של נקודות קצה.

פיזור הקורבנות מצביע על מיקוד בינלאומי בעיקרו. רק כ-13% מהקורבנות הידועים נמצאים בארצות הברית, בעוד שהריכוזים הגבוהים ביותר של קורבנות נצפו בתאילנד, בריטניה, ברזיל, גרמניה והודו.

תמיכה בשותפים ופעילות עסקית פלילית

The Gentlemen מתחזקת מערכת אקולוגית מובנית של שותפים הנתמכת ישירות על ידי LARVA-368. חשבונות ייעודיים בפלטפורמת The Gentlemen IM מספקים סיוע בתהליכי הצפנה ואתגרים הקשורים לפריצה, כולל גישה לכלי עקיפת EDR המנצלים טכניקות BYOVD (Bring Your Own Vulnerable Driver).

שירותי תמיכה עבור The Gentlemen ו-The Gentlemen Data זמינים דרך פלטפורמות המסרים Tox, SimpleX Chat ו-Ricochet Refresh. שותפים פוטנציאליים חייבים להגיש לפחות 1 ג'יגה-בייט של נתוני קורבנות גנובים לפני קבלת גישה לפורטל השותפים. נראה כי דרישה זו נועדה למנוע מחוקרים וסוכנויות אכיפת חוק לחדור לפלטפורמה על ידי התחזות לשותפים.

פורטל ניהול השותפים מאפשר ניהול משתמשים, הגדרת יעד וניהול פריסת תוכנות כופר. כדי למשוך משתתפים, הפעילות מקדמת מבנה חלוקת הכנסות אגרסיבי המקצה 90% מהרווחים לשותפים ו-10% למפעילים.

תשתית טכנית ומתודולוגיית תקיפה

הקבוצה מספקת חמישה גרסאות של תוכנות כופר המיועדות להתמקד במערכות Windows, Linux, ESXi, Windows XP ומערכות מתקדמות יותר, כמו גם בסביבות המשתמשות ב-Logical Volume Manager (LVM). פעולות גישה ראשוניות מתמקדות בדרך כלל בתשתיות הפונות לאינטרנט כגון מכשירי VPN, חומות אש ומכשירי קצה.

מחזור החיים של חדירה משלב ארסנל רחב של כלים וטכניקות התקפיות:

• כלי עזר של Red Team כגון NetExec, RelayKing, TaskHound, PrivHound ו-CertiHound משמשים לסיור ב-Active Directory, ניצול לרעה של אישורים, הסלמת הרשאות וגילוי שיתופי רשת. כלים נוספים, כולל EDRStartupHinder, gfreeze, glinker ו-DumpBrowserSecrets, מקלים על התחמקות מהגנה וגניבת אישורים, בעוד ש-Velociraptor תומך בפעילויות פיקוד ובקרה.
• פעולות לאחר פגיעה כוללות לעתים קרובות ניקוי יומני אירועי מערכת, יישומים ואבטחה של Windows, השבתת Microsoft Defender ויצירת החרגות של אנטי-וירוס כדי להפחית את הזדמנויות הזיהוי.

תוכנת הכופר משתמשת במודל הצפנה היברידי המשלב חילופי מפתחות X25519 עם הצפנה סימטרית XChaCha20. חוקרים שעוקבים אחר אשכול הפעילות כ-Storm-2697 קבעו שהתוכנה הזדונית נכתבה ב-Go ומטושטשת באמצעות Garble.

יכולת מסוכנת במיוחד מתאפשרת באמצעות הפרמטר '--spread', אשר ממיר את תוכנת הכופר ממצפין יחיד לתולעת בעלת הפצתה עצמית המסוגלת להפיץ את עצמה על פני מערכות רשת נגישות. כאשר היא מבוצעת באמצעות הארגומנט '--wipe', התוכנה הזדונית מבצעת פעולות נוספות שמטרתן לחסל ממצאים הניתנים לשחזור לאחר ההצפנה.

טקטיקות סחיטה וזריזות מבצעית

ראיות מצביעות על כך ש"הג'נטלמנים" מפעילים אסטרטגיית סחיטה רב-ערוצית המשתרעת מעבר לפריסת תוכנות כופר. קורבנות עשויים גם להתמודד עם תקשורת ישירה בדוא"ל וקמפיינים של לחץ טלפוניים שנועדו להגביר את הסבירות לתשלום.

מחזור הפיתוח של הקבוצה מדגים רמת תגובה גבוהה באופן יוצא דופן. דוגמה בולטת אחת התרחשה באפריל 2026, כאשר מפעילים פרסמו תיקון באותו יום בו מפענח הפך לזמין לציבור.

חדירות בדרך כלל נותרות בלתי מזוהות למשך תקופות הנעות בין שבועיים לשישה שבועות לפני ביצוע ההצפנה. נראה כי ארגונים המפעילים תשתית VMware הם מוקד מיוחד למאמצי מיקוד.

דליפות פנימיות חושפות מבנה ארגוני

פריצת דרך מודיעינית משמעותית התרחשה במאי 2026 בעקבות חשיפת מסד נתונים פנימי של Rocket.Chat ששימש את הקבוצה. הדליפה הכילה 3,366 הודעות שהוחלפו בין נובמבר 2025 לסוף אפריל 2026, וסיפקה תובנות חשובות לגבי המבנה הפנימי ותהליכי העבודה של הארגון.

התקשורת חשפה חלוקת אחריות ברורה בין החברים ותיעדה את השימוש בפגיעויות המשפיעות על טכנולוגיות של VMware Aria Operations, Fortinet, Cisco ו-Microsoft. התיעוד תיאר מיזם פשיעה מאורגן היטב עם תפקידים מיוחדים התומכים בשלבים שונים של פעולות תקיפה.

המידע שהודלף הראה גם ניטור והערכה פעילים של פגיעויות מתפתחות, כולל CVE-2024-55591, CVE-2025-32433 ו-CVE-2025-33073. פרצות אלו שולבו עם נתיבי תקיפה נוספים שכללו שימוש לרעה במערכת גיבוי, פגיעה בבקר ניהול וטכניקות ממסר NTLM, ויצרו מסגרת פרצות גמישה ביותר.

חשיפה של ערכת כלים מלאה למפעיל

במרץ 2026, חוקרי אבטחת סייבר זיהו ספרייה חשופה המאוחסנת בשירות האירוח Proton66 bulletproof. הספרייה הכילה 126 קבצים המיוחסים לחברת The Gentlemen RaaS וחשפה למעשה ערכת כלים מלאה של מפעיל תוכנות כופר.

ערכת הכלים שדלפה כיסתה כמעט כל שלב במחזור חיי ההתקפה:

• סיור ויצירת פרופיל קורבנות
• הסלמת הרשאות

• התחמקות מההגנה

• גניבת אישורים

• תנועה צידית

• מנגנוני התמדה

• פעילויות הכנה לפני הצפנה

רוחב כלי הכלים הדגיש את הבשלות התפעולית של המערכת האקולוגית וסיפק הצצה נדירה למשאבים הזמינים לשותפים.

האיום מאחורי המותג

LARVA-368 מעורבת בפעילות פושעי סייבר המתמקדת בסחיטה מאז 2020 לפחות. נראה כי הניסיון שנצבר באמצעות שיתופי פעולה עם מספר חברות כופר סיפק את המומחיות הטכנית, הידע המבצעי ורשת הפלילית הדרושים להקמה והרחבה של The Gentlemen לארגון RaaS עצמאי ומשמעותי.

השילוב של תחכום טכני, שיטות עסקיות המתמקדות בשותפים, מחזורי פיתוח מהירים וטקטיקות סחיטה אגרסיביות, ממקם את The Gentlemen בין איומי הכופר הבולטים ביותר העומדים כיום בפני ארגונים ברחבי העולם.