Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware „The Gentlemen“ išpirkos reikalaujanti programa

„The Gentlemen“ išpirkos reikalaujanti programa

Autorius Mezo, Ransomware, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Tyrimai dėl operacijos „The Gentlemen“ atskleidžia, kad finansiškai motyvuota grėsmių grupė iš pradžių veikė kaip filialas, vykdęs dvigubo turto prievartavimo atakas, pasinaudodamas infrastruktūra ir ištekliais, kuriuos teikia kelios išpirkos reikalaujančios programinės įrangos kaip paslaugos (RaaS) ekosistemos, įskaitant „LockBit“, „Qilin“ ir „Medusa“.

Operaciją, vykdomą kelių tyrėjų, naudojančių „Phantom Mantis“ slapyvardį, seka rusakalbis kibernetinis nusikaltėlis, identifikuotas kaip LARVA-368. Šis asmuo siejamas su daugybe internetinių slapyvardžių, įskaitant „hastalamuerte“, „ArmCorp“, „zeta88“, „nobody0“ ir „santamuerte“. Nuo 2025 m. kovo mėn. veikianti grupuotė viešai prisiėmė atsakomybę už 478 aukas.

Grėsmių grupės atsiradimas

Svarbus pokytis įvyko 2025 m. liepą, kai „Phantom Mantis“ išsivystė į „The Gentlemen“ – nepriklausomą partnerystės programą, nebepriklausančią nuo išorinių RaaS operatorių. Perėjimą lydėjo platus dirbtinio intelekto naudojimas išpirkos reikalaujančių programų kūrimui, įrankių priežiūrai ir veiklai po išnaudojimo.

Grėsmių žvalgybos vertinimai rodo, kad LARVA-368 anksčiau veikė „Embargo“ išpirkos reikalaujančių programų grupės sudėtyje, o vėliau pradėjo atskirą operaciją su „ArmCorp“ prekės ženklu. Po keturių mėnesių operacija buvo pervadinta į „The Gentlemen“.

Šio perėjimo laikas buvo glaudžiai susijęs su viešu ginču tarp LARVA-368 ir išpirkos reikalaujančios programinės įrangos operacijos „Qilin“. Grėsmės vykdytojas apkaltino „Qilin“ sukčiavimu, kurio metu buvo išpirkta informacija, ir maždaug 48 000 USD pajamų nusavinimu.

Siekdama sustiprinti savo pozicijas pogrindinėse bendruomenėse, „Phantom Mantis“ investavo į aukščiausios kokybės narystes kibernetinių nusikaltėlių forumuose. Ryšių ir techninės pagalbos funkcijas daugiausia valdo atskiras rusakalbis asmuo, žinomas kaip „The Gentlemen Data“.

Subrendusi ir sparčiai auganti išpirkos reikalaujančių programų ekosistema

Saugumo tyrėjai apibūdina „The Gentlemen“ kaip itin prisitaikančią ir sparčiai besivystančią išpirkos reikalaujančių programų operaciją, kuri derina tradicines išpirkos reikalaujančių programų technikas su moderniomis RaaS galimybėmis. Jos veiklos modelis apima dvigubą turto prievartavimą, kelių platformų išpirkos reikalaujančių programų variantus, lanksčius plitimo mechanizmus ir platų filialų palaikymą.

Ši grupuotė greitai tapo viena aktyviausių išpirkos reikalaujančių programų veikėjų grėsmių pasaulyje ir sudarė maždaug 10 % visos stebėtos išpirkos reikalaujančių programų veiklos 2026 m. balandžio mėn. Atakų kampanijos paprastai vyksta pagal įmones orientuotą įsilaužimo grandinę, kuri prasideda nuo pažeidžiamų interneto paslaugų arba pažeistų prisijungimo duomenų.

Analizė taip pat rodo, kad operatoriai gali dinamiškai modifikuoti taktiką įsilaužimų metu. Veikla apėmė grupės politikos objektų (GPO) manipuliavimą, privilegijuotų paskyrų pažeidimą ir pritaikytų metodų, skirtų apeiti galinių taškų saugumo kontrolę, diegimą.

Aukų pasiskirstymas rodo, kad daugiausia dėmesio skiriama tarptautiniam smurtui. Tik apie 13 % žinomų aukų yra Jungtinėse Valstijose, o didžiausia aukų koncentracija pastebėta Tailande, Jungtinėje Karalystėje, Brazilijoje, Vokietijoje ir Indijoje.

Partnerių palaikymas ir nusikalstamos verslo operacijos

„The Gentlemen“ palaiko struktūrizuotą partnerių ekosistemą, kurią tiesiogiai palaiko „LARVA-368“. Specialios paskyros „The Gentlemen IM“ platformoje teikia pagalbą šifravimo procesams ir su įsilaužimais susijusiems iššūkiams, įskaitant prieigą prie EDR apėjimo įrankių, kurie naudoja „Bring Your Own Vulnerable Driver“ (BYOVD) metodus.

„The Gentlemen“ ir „The Gentlemen Data“ palaikymo paslaugos teikiamos per „Tox“, „SimpleX Chat“ ir „Ricochet Refresh“ pranešimų platformas. Potencialūs partneriai, norėdami gauti prieigą prie partnerių portalo, privalo pateikti bent 1 GB pavogtų aukų duomenų. Atrodo, kad šis reikalavimas skirtas užkirsti kelią tyrėjams ir teisėsaugos institucijoms patekti į platformą apsimetant partneriais.

Partnerių valdymo portalas leidžia administruoti naudotojus, konfigūruoti taikinius ir valdyti išpirkos reikalaujančių programų diegimą. Siekiant pritraukti dalyvius, operacija skatina agresyvią pajamų pasidalijimo struktūrą, pagal kurią 90 % pelno skiria partneriams, o 10 % – operatoriams.

Techninė infrastruktūra ir atakų metodika

Grupė siūlo penkis išpirkos reikalaujančių programų variantus, skirtus atakuoti „Windows“, „Linux“, „ESXi“, „Windows XP“ ir naujesnes sistemas, taip pat aplinkas, kuriose naudojamas „Logical Volume Manager“ (LVM). Pradinės prieigos operacijos dažniausiai sutelkiamos į interneto infrastruktūrą, pvz., VPN įrenginius, ugniasienes ir periferinius įrenginius.

Įsilaužimo gyvavimo ciklas apima platų puolimo įrankių ir technikų arsenalą:

  • „Red team“ programos, tokios kaip „NetExec“, „RelayKing“, „TaskHound“, „PrivHound“ ir „CertiHound“, naudojamos „Active Directory“ žvalgybai, sertifikatų piktnaudžiavimui, privilegijų eskalavimui ir tinklo bendrinimo aptikimui. Papildomos priemonės, įskaitant „EDRStartupHinder“, „gfreeze“, „glinker“ ir „DumpBrowserSecrets“, palengvina gynybos apėjimą ir kredencialų vagystę, o „Velociraptor“ palaiko komandų ir valdymo veiklą.
  • Veiksmai po pažeidimo dažnai apima „Windows“ sistemos, programų ir saugos įvykių žurnalų išvalymą, „Microsoft Defender“ išjungimą ir antivirusinių programų išimčių kūrimą, siekiant sumažinti aptikimo galimybes.

Išpirkos reikalaujanti programa naudoja hibridinį šifravimo modelį, apjungiantį X25519 raktų mainus su XChaCha20 simetriniu šifravimu. Tyrėjai, sekę veiklos grupę kaip „Storm-2697“, nustatė, kad kenkėjiška programa parašyta „Go“ kalba ir užmaskuota naudojant „Garble“.

Ypač pavojinga funkcija įjungiama naudojant parametrą „--spread“, kuris išpirkos reikalaujančią programinę įrangą iš vieno mazgo šifravimo programos paverčia savaime plintančiu kirminu, galinčiu platinti save pasiekiamose tinklo sistemose. Kai kenkėjiška programa vykdoma su argumentu „--wipe“, ji atlieka papildomus veiksmus, skirtus pašalinti atkuriamus artefaktus po šifravimą.

Išpirkos šantažavimo taktika ir operacinis lankstumas

Įrodymai rodo, kad „The Gentlemen“ taiko daugiakanalę išpirkos reikalaujančių programų platinimo strategiją. Aukos taip pat gali susidurti su tiesioginiais el. laiškais ir telefonu vykdomomis spaudimo kampanijomis, skirtomis padidinti mokėjimo tikimybę.

Grupės kūrimo ciklas pasižymi neįprastai dideliu reagavimo lygiu. Vienas pastebimas pavyzdys įvyko 2026 m. balandžio mėn., kai operatoriai išleido pataisą tą pačią dieną, kai viešai tapo prieinama iššifravimo priemonė.

Įsilaužimai paprastai lieka neaptikti nuo dviejų iki šešių savaičių, kol atliekamas šifravimas. Atrodo, kad organizacijos, valdančios „VMware“ infrastruktūrą, yra ypač nukreiptos į taikinius.

Vidiniai nutekėjimai atskleidžia organizacinę struktūrą

Reikšmingas žvalgybos proveržis įvyko 2026 m. gegužę, kai buvo paviešinta grupės naudojama vidinė „Rocket.Chat“ duomenų bazė. Nutekintoje informacijoje buvo 3366 pranešimai, kuriais buvo apsikeista nuo 2025 m. lapkričio iki 2026 m. balandžio pabaigos ir kurie suteikė vertingos informacijos apie operacijos vidaus struktūrą ir darbo eigą.

Pranešimuose buvo atskleistas aiškus atsakomybės pasidalijimas tarp narių ir dokumentuotas pažeidžiamumų, darančių įtaką „VMware Aria Operations“, „Fortinet“, „Cisco“ ir „Microsoft“ technologijoms, naudojimas. Įrašai vaizdavo gerai organizuotą nusikalstamą veiklą, kurios specializuoti vaidmenys padėjo įgyvendinti skirtingus atakų operacijų etapus.

Nutekėjusi informacija taip pat parodė aktyvų kylančių pažeidžiamumų, įskaitant CVE-2024-55591, CVE-2025-32433 ir CVE-2025-33073, stebėjimą ir vertinimą. Šie pažeidžiamumų išnaudojimai buvo derinami su papildomais atakų keliais, apimančiais atsarginių kopijų sistemos piktnaudžiavimą, valdymo valdiklio kompromitavimą ir NTLM perdavimo technologijas, taip sukuriant labai lanksčią pažeidžiamumų išnaudojimo sistemą.

Pilno operatoriaus įrankių rinkinio ekspozicija

2026 m. kovo mėn. kibernetinio saugumo tyrėjai aptiko pavojuje esantį katalogą, esantį „Proton66“ neperšaunamoje prieglobos paslaugoje. Kataloge buvo 126 failai, priskirti „The Gentlemen RaaS“ filialui, ir iš esmės buvo atskleistas visas išpirkos reikalaujančios programinės įrangos operatoriaus įrankių rinkinys.

Nutekėjęs įrankių rinkinys apėmė beveik kiekvieną atakos gyvavimo ciklo etapą:

  • Žvalgyba ir aukų profiliavimas
  • Privilegijų eskalavimas
  • Gynybos vengimas
  • Įgaliojimų vagystė
  • Šoninis judėjimas
  • Išlikimo mechanizmai
  • Pasirengimo šifravimui veikla

Įrankių rinkinio apimtis pabrėžė ekosistemos veiklos brandą ir suteikė retą galimybę pažvelgti į filialams prieinamus išteklius.

Už prekės ženklo slypinti grėsmė

LARVA-368 dalyvauja su turto prievartavimu susijusioje kibernetinėje nusikalstamoje veikloje mažiausiai nuo 2020 m. Patirtis, įgyta bendradarbiaujant su keliomis išpirkos reikalaujančių programų operacijomis, suteikė techninių žinių, operatyvinių žinių ir nusikaltėlių tinklo, reikalingų „The Gentlemen“ įkūrimui ir plėtrai, kad ji taptų reikšminga nepriklausoma RaaS įmone.

Techninio sudėtingumo, į partnerius orientuotos verslo praktikos, greito kūrimo ciklo ir agresyvios turto prievartavimo taktikos derinys „The Gentlemen“ iškėlė į vieną iš didžiausių išpirkos reikalaujančių programų grėsmių, su kuriomis šiuo metu susiduria organizacijos visame pasaulyje.

Tendencijos

Labiausiai žiūrima

Įkeliama...