Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian tebusan The Gentlemen Ransomware

The Gentlemen Ransomware

Menjelang Mezo pada Perisian tebusan, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Siasatan terhadap operasi The Gentlemen mendedahkan bahawa kumpulan ancaman yang bermotifkan kewangan itu pada asalnya berfungsi sebagai sekutu yang menjalankan serangan pemerasan berganda sambil memanfaatkan infrastruktur dan sumber yang disediakan oleh pelbagai ekosistem Ransomware-as-a-Service (RaaS), termasuk LockBit, Qilin dan Medusa.

Operasi ini dikesan oleh beberapa penyelidik di bawah nama Phantom Mantis dan diketuai oleh seorang penjenayah siber berbahasa Rusia yang dikenal pasti sebagai LARVA-368. Individu ini telah dikaitkan dengan pelbagai alias dalam talian, termasuk hastalamuerte, ArmCorp, zeta88, nobody0 dan santamuerte. Aktif sejak Mac 2025, kumpulan itu telah secara terbuka mengaku bertanggungjawab terhadap 478 mangsa.

Kemunculan Kumpulan Ancaman

Satu transformasi besar berlaku pada Julai 2025 apabila Phantom Mantis berkembang menjadi The Gentlemen, sebuah program perkongsian bebas yang tidak lagi bergantung pada pengendali RaaS luaran. Peralihan ini disertai dengan penggunaan kecerdasan buatan yang meluas untuk menyokong pembangunan ransomware, penyelenggaraan alat dan aktiviti pasca eksploitasi.

Penilaian risikan ancaman menunjukkan bahawa LARVA-368 sebelum ini beroperasi dalam kumpulan ransomware Embargo sebelum melancarkan operasi berasingan di bawah jenama ArmCorp. Empat bulan kemudian, operasi itu dijenamakan semula sebagai The Gentlemen.

Masa peralihan ini berkait rapat dengan pertikaian awam antara LARVA-368 dan operasi ransomware Qilin. Pelakon ancaman itu menuduh Qilin menjalankan penipuan keluar dan menahan kira-kira $48,000 dalam pendapatan.

Bagi mengukuhkan kehadiran pasaran dalam komuniti bawah tanah, Phantom Mantis telah melabur dalam keahlian premium di forum jenayah siber. Fungsi komunikasi dan sokongan teknikal sebahagian besarnya diuruskan oleh persona berbahasa Rusia yang berasingan yang dikenali sebagai The Gentlemen Data.

Ekosistem Ransomware yang Matang dan Berkembang Pantas

Penyelidik keselamatan mencirikan The Gentlemen sebagai operasi ransomware yang sangat adaptif dan pantas berkembang yang menggabungkan teknik ransomware tradisional dengan keupayaan RaaS moden. Model operasinya menggabungkan pemerasan berganda, varian ransomware merentas platform, mekanisme penyebaran fleksibel dan sokongan afiliasi yang meluas.

Kumpulan ini telah muncul dengan pantas sebagai salah satu pelaku ransomware paling aktif dalam landskap ancaman, menyumbang kira-kira 10% daripada semua aktiviti ransomware yang diperhatikan sepanjang April 2026. Kempen serangan biasanya mengikuti rantaian pencerobohan yang berfokus pada perusahaan yang bermula melalui perkhidmatan yang menghadap internet yang terdedah atau kelayakan yang dikompromikan.

Analisis selanjutnya menunjukkan bahawa pengendali boleh mengubah suai taktik secara dinamik semasa pencerobohan. Aktiviti termasuk memanipulasi Objek Dasar Kumpulan (GPO), menjejaskan akaun istimewa dan menggunakan teknik tersuai yang direka untuk mengelak kawalan keselamatan titik akhir.

Taburan mangsa menunjukkan tumpuan antarabangsa yang dominan. Hanya sekitar 13% daripada mangsa yang diketahui berada di Amerika Syarikat, manakala kepekatan mangsa tertinggi telah diperhatikan di Thailand, United Kingdom, Brazil, Jerman dan India.

Sokongan Gabungan dan Operasi Perniagaan Jenayah

The Gentlemen mengekalkan ekosistem afiliasi berstruktur yang disokong secara langsung oleh LARVA-368. Akaun khusus di platform The Gentlemen IM menyediakan bantuan untuk proses penyulitan dan cabaran berkaitan pencerobohan, termasuk akses kepada alat pintasan EDR yang memanfaatkan teknik Bring Your Own Vulnerable Driver (BYOVD).

Perkhidmatan sokongan untuk Data The Gentlemen dan The Gentlemen tersedia melalui platform pesanan Tox, SimpleX Chat dan Ricochet Refresh. Bakal ahli gabungan mesti menyerahkan sekurang-kurangnya 1 GB data mangsa yang dicuri sebelum mendapatkan akses kepada portal gabungan. Keperluan ini nampaknya bertujuan untuk menghalang penyelidik dan agensi penguatkuasaan undang-undang daripada menyusup masuk ke platform dengan menyamar sebagai ahli gabungan.

Portal pengurusan afiliasi membolehkan pentadbiran pengguna, konfigurasi sasaran dan pengurusan penggunaan ransomware. Untuk menarik peserta, operasi ini menggalakkan struktur perkongsian hasil yang agresif yang memperuntukkan 90% keuntungan kepada afiliasi dan 10% kepada pengendali.

Infrastruktur Teknikal dan Metodologi Serangan

Kumpulan ini menyediakan lima varian ransomware yang direka untuk menyasarkan sistem Windows, Linux, ESXi, Windows XP dan yang lebih baharu, serta persekitaran yang menggunakan Pengurus Kelantangan Logikal (LVM). Operasi akses awal biasanya tertumpu pada infrastruktur yang menghadap internet seperti peralatan VPN, tembok api dan peranti pinggir.

Kitaran hayat pencerobohan menggabungkan pelbagai alat dan teknik serangan:

  • Utiliti pasukan merah seperti NetExec, RelayKing, TaskHound, PrivHound dan CertiHound digunakan untuk peninjauan Active Directory, penyalahgunaan sijil, peningkatan keistimewaan dan penemuan perkongsian rangkaian. Alatan tambahan termasuk EDRStartupHinder, gfreeze, glinker dan DumpBrowserSecrets memudahkan pengelakan pertahanan dan kecurian kelayakan, manakala Velociraptor menyokong aktiviti arahan dan kawalan.
  • Tindakan pasca-kompromi kerap kali termasuk membersihkan Log Peristiwa Sistem, Aplikasi dan Keselamatan Windows, melumpuhkan Microsoft Defender dan mencipta pengecualian antivirus untuk mengurangkan peluang pengesanan.

Ransomware ini menggunakan model penyulitan hibrid yang menggabungkan pertukaran kunci X25519 dengan penyulitan simetri XChaCha20. Penyelidik yang menjejaki kluster aktiviti sebagai Storm-2697 mendapati bahawa perisian hasad tersebut ditulis dalam Go dan dikaburkan menggunakan Garble.

Keupayaan yang amat berbahaya didayakan melalui parameter '--spread', yang menukar ransomware daripada penyulitan hos tunggal kepada cacing yang merambat sendiri yang mampu mengedarkan dirinya merentasi sistem rangkaian yang boleh dicapai. Apabila dilaksanakan dengan argumen '--wipe', malware tersebut akan melakukan tindakan tambahan yang bertujuan untuk menghapuskan artifak yang boleh dipulihkan selepas penyulitan.

Taktik Pemerasan dan Ketangkasan Operasi

Bukti menunjukkan bahawa The Gentlemen mengendalikan strategi pemerasan berbilang saluran yang melangkaui penggunaan ransomware. Mangsa juga mungkin menghadapi komunikasi e-mel langsung dan kempen tekanan berasaskan telefon yang direka untuk meningkatkan kemungkinan pembayaran.

Kitaran pembangunan kumpulan ini menunjukkan tahap responsif yang luar biasa tinggi. Satu contoh penting berlaku pada April 2026 apabila pengendali mengeluarkan tampalan pada hari yang sama penyahsulit tersedia secara umum.

Pencerobohan biasanya tidak dikesan untuk tempoh antara dua hingga enam minggu sebelum penyulitan dilaksanakan. Organisasi yang mengendalikan infrastruktur VMware nampaknya menjadi tumpuan khusus usaha penyasaran.

Kebocoran Dalaman Mendedahkan Struktur Organisasi

Satu penemuan risikan yang ketara berlaku pada Mei 2026 susulan pendedahan pangkalan data dalaman Rocket.Chat yang digunakan oleh kumpulan itu. Kebocoran itu mengandungi 3,366 mesej yang ditukar antara November 2025 dan akhir April 2026, memberikan pandangan berharga tentang struktur dan aliran kerja dalaman operasi tersebut.

Komunikasi tersebut mendedahkan pembahagian tanggungjawab yang jelas antara ahli dan mendokumentasikan penggunaan kerentanan yang mempengaruhi teknologi VMware Aria Operations, Fortinet, Cisco dan Microsoft. Rekod tersebut menggambarkan perusahaan jenayah yang tersusun rapi dengan peranan khusus yang menyokong fasa operasi serangan yang berbeza.

Maklumat yang bocor juga menunjukkan pemantauan dan penilaian aktif terhadap kelemahan yang muncul, termasuk CVE-2024-55591, CVE-2025-32433 dan CVE-2025-33073. Eksploitasi ini digabungkan dengan laluan serangan tambahan yang melibatkan penyalahgunaan sistem sandaran, kompromi pengurusan-pengawal dan teknik geganti NTLM, mewujudkan rangka kerja eksploitasi yang sangat fleksibel.

Pendedahan Kit Alat Operator Lengkap

Pada Mac 2026, penyelidik keselamatan siber mengenal pasti direktori terdedah yang dihoskan pada perkhidmatan pengehosan kalis peluru Proton66. Direktori tersebut mengandungi 126 fail yang dikaitkan dengan afiliasi The Gentlemen RaaS dan secara berkesan mendedahkan kit alat pengendali ransomware yang lengkap.

Kit alat yang bocor itu merangkumi hampir setiap peringkat kitaran hayat serangan:

  • Peninjauan dan profil mangsa
  • Peningkatan keistimewaan
  • Pengelakan pertahanan
  • Kecurian kelayakan
  • Pergerakan sisi
  • Mekanisme kegigihan
  • Aktiviti penyediaan pra-penyulitan

Keluasan toolkit ini menonjolkan kematangan operasi ekosistem dan memberikan gambaran yang jarang berlaku tentang sumber yang tersedia untuk ahli gabungan.

Ancaman Di Sebalik Jenama

LARVA-368 telah terlibat dalam aktiviti jenayah siber yang berfokus pada pemerasan sejak sekurang-kurangnya tahun 2020. Pengalaman yang diperoleh melalui kerjasama dengan pelbagai operasi ransomware nampaknya telah menyediakan kepakaran teknikal, pengetahuan operasi dan rangkaian jenayah yang diperlukan untuk menubuhkan dan mengembangkan The Gentlemen menjadi perusahaan RaaS bebas yang penting.

Gabungan operasi yang merangkumi kecanggihan teknikal, amalan perniagaan yang berfokus pada afiliasi, kitaran pembangunan pesat dan taktik pemerasan yang agresif telah meletakkan The Gentlemen antara ancaman ransomware paling menonjol yang sedang dihadapi oleh organisasi di seluruh dunia.

Trending

Paling banyak dilihat

Memuatkan...