Ransomware tvrtke The Gentlemen

Do Mezo. Ransomware, Napredna trajna prijetnja (APT). godine

Prevedi na:

Istrage operacije The Gentlemen otkrivaju da je financijski motivirana prijetnjačka skupina izvorno funkcionirala kao pridružena tvrtka koja je provodila dvostruke iznudne napade, koristeći infrastrukturu i resurse koje pružaju višestruki Ransomware-as-a-Service (RaaS) ekosustavi, uključujući LockBit, Qilin i Medusa.

Operaciju prati nekoliko istraživača pod imenom Phantom Mantis, a vodi je ruskogovoreći kibernetički kriminalac identificiran kao LARVA-368. Ova osoba povezana je s više online pseudonima, uključujući hastalamuerte, ArmCorp, zeta88, nobody0 i santamuerte. Grupa, aktivna od ožujka 2025., javno je preuzela odgovornost za 478 žrtava.

Sadržaj

Pojava Grupe prijetnji

Velika transformacija dogodila se u srpnju 2025. kada se Phantom Mantis razvio u The Gentlemen, neovisni partnerski program koji više ne ovisi o vanjskim RaaS operaterima. Prijelaz je pratila opsežna upotreba umjetne inteligencije za podršku razvoju ransomwarea, održavanju alata i aktivnostima nakon iskorištavanja.

Procjene obavještajnih podataka o prijetnjama pokazuju da je LARVA-368 prethodno djelovala unutar Embargo ransomware grupe prije nego što je pokrenula zasebnu operaciju pod brendom ArmCorp. Četiri mjeseca kasnije, operacija je preimenovana u The Gentlemen.

Vremenski okvir ove tranzicije bio je usko povezan s javnim sporom između LARVA-368 i Qilin ransomware operacije. Akter prijetnje optužio je Qilin za provođenje prijevare pri izlasku s platforme i zadržavanje otprilike 48.000 dolara zarade.

Kako bi ojačao prisutnost na tržištu unutar podzemnih zajednica, Phantom Mantis je investirao u premium članstva na forumima kibernetičkog kriminala. Komunikacijskim i tehničkim funkcijama podrške uglavnom upravlja zasebna ruskogovorna osoba poznata kao The Gentlemen Data.

Zreli i brzorastući ekosustav ransomwarea

Sigurnosni istraživači karakteriziraju The Gentlemen kao visoko prilagodljivu i brzo razvijajuću ransomware operaciju koja kombinira tradicionalne tehnike ransomwarea s modernim RaaS mogućnostima. Njezin operativni model uključuje dvostruku iznudu, varijante ransomwarea na više platformi, fleksibilne mehanizme širenja i opsežnu podršku partnera.

Grupa se brzo pojavila kao jedan od najaktivnijih aktera ransomwarea u svijetu prijetnji, čineći otprilike 10% svih uočenih aktivnosti ransomwarea tijekom travnja 2026. Napadačke kampanje obično slijede lanac upada usmjeren na poduzeća koji počinje putem ranjivih usluga okrenutih prema internetu ili kompromitiranih vjerodajnica.

Analiza nadalje sugerira da operateri mogu dinamički mijenjati taktike tijekom upada. Aktivnosti su uključivale manipuliranje objektima grupnih pravila (GPO), kompromitiranje privilegiranih računa i primjenu prilagođenih tehnika osmišljenih za izbjegavanje sigurnosnih kontrola krajnjih točaka.

Raspodjela žrtava ukazuje na pretežno međunarodni fokus. Samo oko 13% poznatih žrtava nalazi se u Sjedinjenim Državama, dok su najveće koncentracije žrtava uočene u Tajlandu, Ujedinjenom Kraljevstvu, Brazilu, Njemačkoj i Indiji.

Podrška za partnere i kriminalne poslovne operacije

The Gentlemen održava strukturirani ekosustav pridruženih tvrtki koji izravno podržava LARVA-368. Namjenski računi na platformi The Gentlemen IM pružaju pomoć za procese šifriranja i izazove povezane s upadom, uključujući pristup alatima za zaobilaženje EDR-a koji koriste tehnike "Donesi svoj vlastiti ranjivi upravljački program" (BYOVD).

Usluge podrške za The Gentlemen i The Gentlemen Data dostupne su putem platformi za razmjenu poruka Tox, SimpleX Chat i Ricochet Refresh. Potencijalni partneri moraju poslati najmanje 1 GB ukradenih podataka o žrtvama prije nego što dobiju pristup partnerskom portalu. Čini se da je ovaj zahtjev namijenjen sprječavanju istraživača i agencija za provođenje zakona da se infiltriraju u platformu predstavljajući se kao partneri.

Portal za upravljanje partnerima omogućuje administraciju korisnika, konfiguraciju ciljeva i upravljanje implementacijom ransomwarea. Kako bi privukla sudionike, operacija promovira agresivnu strukturu podjele prihoda koja dodjeljuje 90% profita partnerima, a 10% operaterima.

Tehnička infrastruktura i metodologija napada

Grupa nudi pet varijanti ransomwarea dizajniranih za ciljanje Windows, Linux, ESXi, Windows XP i novijih sustava, kao i okruženja koja koriste Logical Volume Manager (LVM). Početne operacije pristupa obično se usredotočuju na infrastrukturu okrenutu prema internetu kao što su VPN uređaji, vatrozidovi i rubni uređaji.

Životni ciklus upada uključuje širok arsenal ofenzivnih alata i tehnika:

Uslužni programi crvenog tima kao što su NetExec, RelayKing, TaskHound, PrivHound i CertiHound koriste se za izviđanje Active Directoryja, zlouporabu certifikata, eskalaciju privilegija i otkrivanje mrežnih dijeljenja. Dodatni alati, uključujući EDRStartupHinder, gfreeze, glinker i DumpBrowserSecrets, olakšavaju izbjegavanje obrane i krađu vjerodajnica, dok Velociraptor podržava aktivnosti zapovijedanja i kontrole.
Radnje nakon kompromitiranja često uključuju brisanje zapisnika događaja sustava Windows, aplikacija i sigurnosti, onemogućavanje programa Microsoft Defender i stvaranje antivirusnih izuzeća kako bi se smanjile mogućnosti otkrivanja.

Ransomware koristi hibridni model šifriranja koji kombinira razmjenu ključeva X25519 sa simetričnim šifriranjem XChaCha20. Istraživači koji su pratili klaster aktivnosti dok je Storm-2697 napadao, utvrdili su da je zlonamjerni softver napisan u Gou i maskiran pomoću Garblea.

Posebno opasna mogućnost omogućena je parametrom '--spread', koji pretvara ransomware iz kriptatora s jednog hosta u crva koji se sam širi i može se distribuirati po dostupnim mrežnim sustavima. Kada se izvrši s argumentom '--wipe', zlonamjerni softver izvodi dodatne radnje namijenjene uklanjanju oporavljivih artefakata nakon enkripcije.

Taktike iznude i operativna agilnost

Dokazi upućuju na to da The Gentlemen koristi višekanalnu strategiju iznude koja se proteže dalje od implementacije ransomwarea. Žrtve se također mogu suočiti s izravnom komunikacijom putem e-pošte i telefonskim kampanjama pritiska osmišljenima kako bi se povećala vjerojatnost plaćanja.

Razvojni ciklus grupe pokazuje neuobičajeno visoku razinu odziva. Jedan značajan primjer dogodio se u travnju 2026. kada su operateri objavili zakrpu istog dana kada je dekriptor postao javno dostupan.

Upadi obično ostaju neotkriveni u razdobljima od dva do šest tjedana prije nego što se izvrši enkripcija. Čini se da su organizacije koje upravljaju VMware infrastrukturom posebno u fokusu napora ciljanja.

Interna curenja otkrivaju organizacijsku strukturu

Značajan obavještajni proboj dogodio se u svibnju 2026. nakon otkrivanja interne baze podataka Rocket.Chat koju je koristila grupa. Curenje informacija sadržavalo je 3366 poruka razmijenjenih između studenog 2025. i kraja travnja 2026., pružajući vrijedan uvid u unutarnju strukturu i tijek rada operacije.

Komunikacija je otkrila jasnu podjelu odgovornosti među članovima i dokumentirala korištenje ranjivosti koje utječu na tehnologije VMware Aria Operations, Fortinet, Cisco i Microsoft. Zapisi su prikazivali dobro organizirano kriminalno poduzeće sa specijaliziranim ulogama koje podržavaju različite faze napadačkih operacija.

Procurile informacije također su pokazale aktivno praćenje i procjenu novih ranjivosti, uključujući CVE-2024-55591, CVE-2025-32433 i CVE-2025-33073. Ove ranjivosti kombinirane su s dodatnim putovima napada koji uključuju zlouporabu sigurnosnog sustava, kompromitiranje upravljačkog kontrolera i NTLM tehnike releja, stvarajući vrlo fleksibilan okvir za iskorištavanje.

Izloženost kompletnog alata za operatera

U ožujku 2026. istraživači kibernetičke sigurnosti identificirali su izloženi direktorij hostan na neprobojnoj usluzi hostinga Proton66. Direktorij je sadržavao 126 datoteka pripisanih RaaS partneru tvrtke The Gentlemen i učinkovito je otkrio kompletan set alata za operatera ransomwarea.

Procurili alati pokrivali su gotovo svaku fazu životnog ciklusa napada:

Izviđanje i profiliranje žrtve
Eskalacija privilegija

Izbjegavanje obrane

Krađa vjerodajnica

Bočno kretanje

Mehanizmi perzistencije

Aktivnosti pripreme prije šifriranja

Širina alata istaknula je operativnu zrelost ekosustava i pružila rijedak uvid u resurse dostupne povezanim subjektima.

Prijetnja koja stoji iza brenda

LARVA-368 je uključena u kibernetičko-kriminalne aktivnosti usmjerene na iznudu najmanje od 2020. godine. Iskustvo stečeno suradnjom s više ransomware operacija čini se da je pružilo tehničku stručnost, operativno znanje i kriminalnu mrežu potrebnu za uspostavu i skaliranje The Gentlemena u značajno neovisno RaaS poduzeće.

Kombinacija tehničke sofisticiranosti, poslovnih praksi usmjerenih na partnere, brzih ciklusa razvoja i agresivnih taktika iznude pozicionirala je The Gentlemen među najistaknutije ransomware prijetnje s kojima se organizacije diljem svijeta trenutno suočavaju.

EnigmaSoftov procesor plaćanja Digital River GmbH Prijava stečaja ne utječe na zaštitu korisnika SpyHuntera od zlonamjernog softvera

Traži

Promjena regije

Ransomware tvrtke The Gentlemen

Pojava Grupe prijetnji

Zreli i brzorastući ekosustav ransomwarea

Podrška za partnere i kriminalne poslovne operacije

Tehnička infrastruktura i metodologija napada

Taktike iznude i operativna agilnost

Interna curenja otkrivaju organizacijsku strukturu

Izloženost kompletnog alata za operatera

Prijetnja koja stoji iza brenda

Pošaljite komentar

U trendu

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Nagledanije

Eporner.com

Fuq.com

XHAMSTER Ransomware