The Gentlemen Ransomware

Līdz Mezo. gadam Ransomware, Advanced Persistent Threat (APT). gadā

Tulkot uz:

Izmeklēšana par operāciju “The Gentlemen” atklāj, ka finansiāli motivētā draudu grupa sākotnēji darbojās kā filiāle, veicot dubultus izspiešanas uzbrukumus, izmantojot infrastruktūru un resursus, ko nodrošināja vairākas izspiedējvīrusu kā pakalpojuma (RaaS) ekosistēmas, tostarp LockBit, Qilin un Medusa.

Operāciju izseko vairāki pētnieki ar vārdu Phantom Mantis, un to vada krieviski runājošs kibernoziedznieks, kas identificēts kā LARVA-368. Šī persona ir saistīta ar vairākiem tiešsaistes pseidonīmiem, tostarp hastalamuerte, ArmCorp, zeta88, nobody0 un santamuerte. Grupa, kas darbojas kopš 2025. gada marta, publiski ir uzņēmusies atbildību par 478 upuriem.

Satura rādītājs

Draudu grupas parādīšanās

Būtiska pārveide notika 2025. gada jūlijā, kad Phantom Mantis pārtapa par The Gentlemen — neatkarīgu partnerības programmu, kas vairs nav atkarīga no ārējiem RaaS operatoriem. Pāreju pavadīja plaša mākslīgā intelekta izmantošana, lai atbalstītu izspiedējvīrusu izstrādi, rīku uzturēšanu un darbības pēc ekspluatācijas.

Draudu izlūkošanas novērtējumi liecina, ka LARVA-368 iepriekš darbojās Embargo izspiedējvīrusu grupas ietvaros, pirms uzsāka atsevišķu operāciju ar zīmolu ArmCorp. Četrus mēnešus vēlāk operācija tika pārdēvēta par The Gentlemen.

Šīs pārejas laiks bija cieši saistīts ar publisku strīdu starp LARVA-368 un Qilin izspiedējvīrusa operāciju. Draudu izpildītājs apsūdzēja Qilin par izejas krāpniecības veikšanu un aptuveni 48 000 ASV dolāru peļņas ieturēšanu.

Lai stiprinātu tirgus klātbūtni pagrīdes kopienās, Phantom Mantis ir ieguldījis līdzekļus premium līmeņa dalībniecībās kibernoziedznieku forumos. Komunikācijas un tehniskā atbalsta funkcijas lielākoties pārvalda atsevišķa krieviski runājoša persona, kas pazīstama kā The Gentlemen Data.

Nobriedusi un strauji augoša izspiedējvīrusu ekosistēma

Drošības pētnieki raksturo The Gentlemen kā ļoti adaptīvu un strauji attīstošu izspiedējvīrusu operāciju, kas apvieno tradicionālās izspiedējvīrusu metodes ar modernām RaaS iespējām. Tās darbības modelis ietver dubultu izspiešanu, starpplatformu izspiedējvīrusu variantus, elastīgus izplatīšanas mehānismus un plašu saistīto programmu atbalstu.

Grupa ir strauji kļuvusi par vienu no aktīvākajiem izspiedējvīrusu dalībniekiem apdraudējumu ainavā, veidojot aptuveni 10% no visām novērotajām izspiedējvīrusu aktivitātēm 2026. gada aprīlī. Uzbrukumu kampaņas parasti seko uz uzņēmumu orientētai ielaušanās ķēdei, kas sākas ar neaizsargātiem interneta pakalpojumiem vai apdraudētiem akreditācijas datiem.

Analīze arī liecina, ka operatori var dinamiski mainīt taktiku ielaušanās laikā. Darbības ietver grupas politikas objektu (GPO) manipulēšanu, priviliģēto kontu apdraudēšanu un pielāgotu metožu ieviešanu, kas paredzētas galapunktu drošības kontroles apiešanai.

Upuru sadalījums liecina par galvenokārt starptautisku fokusu. Tikai aptuveni 13% zināmo upuru atrodas Amerikas Savienotajās Valstīs, savukārt vislielākā upuru koncentrācija ir novērota Taizemē, Apvienotajā Karalistē, Brazīlijā, Vācijā un Indijā.

Filiāļu atbalsts un noziedzīgas uzņēmējdarbības operācijas

“The Gentlemen” uztur strukturētu sadarbības partneru ekosistēmu, ko tieši atbalsta LARVA-368. Specializēti konti “The Gentlemen” IM platformā sniedz palīdzību šifrēšanas procesos un ar ielaušanos saistītos izaicinājumos, tostarp piekļuvi EDR apiešanas rīkiem, kas izmanto “Bring Your Own Vulnerable Driver” (BYOVD) metodes.

Atbalsta pakalpojumi gan The Gentlemen, gan The Gentlemen Data ir pieejami, izmantojot ziņojumapmaiņas platformas Tox, SimpleX Chat un Ricochet Refresh. Potenciālajiem partneriem ir jāiesniedz vismaz 1 GB nozagtu upuru datu, pirms tie iegūst piekļuvi partneru portālam. Šķiet, ka šī prasība ir paredzēta, lai novērstu pētnieku un tiesībaizsardzības iestāžu iekļūšanu platformā, izliekoties par partneriem.

Partnerprogrammu pārvaldības portāls nodrošina lietotāju administrēšanu, mērķu konfigurēšanu un izspiedējvīrusu izvietošanas pārvaldību. Lai piesaistītu dalībniekus, operācija veicina agresīvu ieņēmumu sadales struktūru, kas 90% no peļņas piešķir partnerprogrammatūrām un 10% — operatoriem.

Tehniskā infrastruktūra un uzbrukuma metodoloģija

Grupa piedāvā piecus izspiedējvīrusu variantus, kas paredzēti, lai uzbruktu Windows, Linux, ESXi, Windows XP un jaunākām sistēmām, kā arī vidēm, kas izmanto Logical Volume Manager (LVM). Sākotnējās piekļuves darbības parasti koncentrējas uz internetam piekļūstamu infrastruktūru, piemēram, VPN ierīcēm, ugunsmūriem un perifērijas ierīcēm.

Ielaušanās dzīves ciklā ir iekļauts plašs uzbrukuma rīku un metožu arsenāls:

Sarkanās komandas utilītas, piemēram, NetExec, RelayKing, TaskHound, PrivHound un CertiHound, tiek izmantotas Active Directory izlūkošanai, sertifikātu ļaunprātīgai izmantošanai, privilēģiju eskalācijai un tīkla koplietošanas vietu atklāšanai. Papildu rīki, tostarp EDRStartupHinder, gfreeze, glinker un DumpBrowserSecrets, atvieglo aizsardzības apiešanu un akreditācijas datu zādzību, savukārt Velociraptor atbalsta komandu un kontroles darbības.
Pēc apdraudējuma bieži veicamās darbības ietver Windows sistēmas, lietojumprogrammu un drošības notikumu žurnālu notīrīšanu, Microsoft Defender atspējošanu un pretvīrusu programmu izņēmumu izveidi, lai samazinātu atklāšanas iespējas.

Izspiedējvīruss izmanto hibrīda šifrēšanas modeli, apvienojot X25519 atslēgu apmaiņu ar XChaCha20 simetrisko šifrēšanu. Pētnieki, kas izsekoja aktivitāšu klasteri kā Storm-2697, noteica, ka ļaunprogrammatūra ir rakstīta Go valodā un maskēta, izmantojot Garble.

Īpaši bīstama iespēja tiek aktivizēta, izmantojot parametru '--spread', kas pārveido izspiedējvīrusu no viena resursdatora šifrētāja par pašizplatošu tārpu, kas spēj izplatīties pa sasniedzamām tīkla sistēmām. Izpildot ar argumentu '--wipe', ļaunprogrammatūra veic papildu darbības, kuru mērķis ir likvidēt atgūstamos artefaktus pēc šifrēšanas.

Izspiešanas taktika un operatīvā veiklība

Pierādījumi liecina, ka "The Gentlemen" izmanto daudzkanālu izspiešanas stratēģiju, kas sniedzas tālāk par izspiedējvīrusu izvietošanu. Cietušie var saskarties arī ar tiešu saziņu e-pastā un spiediena kampaņām pa tālruni, kuru mērķis ir palielināt maksājuma iespējamību.

Grupas izstrādes cikls demonstrē neparasti augstu reaģētspējas līmeni. Viens ievērojams piemērs bija 2026. gada aprīlī, kad operatori izlaida ielāpu tajā pašā dienā, kad publiski kļuva pieejams atšifrētājs.

Ielaušanās parasti paliek neatklātas divas līdz sešas nedēļas pirms šifrēšanas izpildes. Šķiet, ka organizācijas, kas pārvalda VMware infrastruktūru, ir īpaša uzmanības centrā.

Iekšējās noplūdes atklāj organizatorisko struktūru

Nozīmīgs izlūkošanas atklājums notika 2026. gada maijā pēc tam, kad tika publiskota grupas izmantotā iekšējā Rocket.Chat datubāze. Noplūdē bija 3366 ziņojumi, kas tika apmainīti laikā no 2025. gada novembra līdz 2026. gada aprīļa beigām, sniedzot vērtīgu ieskatu operācijas iekšējā struktūrā un darbplūsmās.

Saziņā tika atklāts skaidrs atbildības sadalījums starp dalībniekiem un dokumentēta ievainojamību izmantošana, kas ietekmē VMware Aria Operations, Fortinet, Cisco un Microsoft tehnoloģijas. Ieraksti atspoguļoja labi organizētu noziedzīgu uzņēmumu ar specializētām lomām, kas atbalsta dažādas uzbrukuma operāciju fāzes.

Nopludinātā informācija arī liecināja par aktīvu jaunu ievainojamību, tostarp CVE-2024-55591, CVE-2025-32433 un CVE-2025-33073, uzraudzību un novērtēšanu. Šīs izmantošanas tika apvienotas ar papildu uzbrukuma ceļiem, kas ietvēra dublēšanas sistēmas ļaunprātīgu izmantošanu, pārvaldības kontrollera kompromitēšanu un NTLM releja metodes, radot ļoti elastīgu izmantošanas ietvaru.

Pilnīga operatora instrumentu komplekta iedarbība

2026. gada martā kiberdrošības pētnieki atklāja atklātu direktoriju, kas tika mitināta Proton66 bulletproof mitināšanas pakalpojumā. Direktorijā bija 126 faili, kas tika piedēvēti The Gentlemen RaaS filiālei, un tā faktiski atklāja pilnīgu izspiedējvīrusa operatora rīkkopa.

Nopludinātais rīku komplekts aptvēra gandrīz visus uzbrukuma dzīves cikla posmus:

Izlūkošana un upuru profilēšana
Privilēģiju eskalācija

Aizsardzības izvairīšanās

Akreditācijas datu zādzība

Sānu kustība

Noturības mehānismi

Pirmsšifrēšanas sagatavošanas darbības

Rīkkopa plašums izcēla ekosistēmas darbības briedumu un sniedza retu ieskatu filiālēm pieejamajos resursos.

Draudi, kas slēpjas aiz zīmola

LARVA-368 ir iesaistīts uz izspiešanu vērstās kibernoziedznieku darbībās vismaz kopš 2020. gada. Pieredze, kas gūta, sadarbojoties ar vairākām izspiedējvīrusu operācijām, šķiet, ir sniegusi tehniskās zināšanas, operatīvās zināšanas un noziedzīgo tīklu, kas nepieciešams, lai izveidotu un paplašinātu The Gentlemen par nozīmīgu neatkarīgu RaaS uzņēmumu.

Šīs operācijas tehniskās sarežģītības, uz partneruzņēmumiem orientētas biznesa prakses, ātro izstrādes ciklu un agresīvas izspiešanas taktikas apvienojums ir novietojis The Gentlemen starp ievērojamākajiem izspiedējvīrusu apdraudējumiem, ar ko pašlaik saskaras organizācijas visā pasaulē.

EnigmaSoft maksājumu procesors Digital River GmbH bankrota pieteikums neietekmē SpyHunter klientu aizsardzību pret ļaunprātīgu programmatūru

Meklēt

Mainīt reģionu

The Gentlemen Ransomware

Draudu grupas parādīšanās

Nobriedusi un strauji augoša izspiedējvīrusu ekosistēma

Filiāļu atbalsts un noziedzīgas uzņēmējdarbības operācijas

Tehniskā infrastruktūra un uzbrukuma metodoloģija

Izspiešanas taktika un operatīvā veiklība

Iekšējās noplūdes atklāj organizatorisko struktūru

Pilnīga operatora instrumentu komplekta iedarbība

Draudi, kas slēpjas aiz zīmola

Iesniegt komentāru

Tendences

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Visvairāk skatīts

Eporner.com

Fuq.com

XHAMSTER Ransomware