Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare The Gentlemen-løsepengeviruset

The Gentlemen-løsepengeviruset

Med Mezo i løsepengeprogramvare, Advanced Persistent Threat (APT)
Oversett til:

Undersøkelser av The Gentlemen-operasjonen avslører at den økonomisk motiverte trusselgruppen opprinnelig fungerte som en tilknyttet organisasjon som utførte doble utpressingsangrep, samtidig som de utnyttet infrastruktur og ressurser levert av flere RaaS-økosystemer (Ransomware-as-a-Service), inkludert LockBit, Qilin og Medusa.

Operasjonen spores av flere forskere under navnet Phantom Mantis og ledes av en russisktalende nettkriminell identifisert som LARVA-368. Denne personen har blitt assosiert med flere nettalias, inkludert hastalamuerte, ArmCorp, zeta88, nobody0 og santamuerte. Gruppen har vært aktiv siden mars 2025 og har offentlig tatt på seg ansvaret for 478 ofre.

Fremveksten av trusselgruppen

En større transformasjon skjedde i juli 2025 da Phantom Mantis utviklet seg til The Gentlemen, et uavhengig partnerskapsprogram som ikke lenger er avhengig av eksterne RaaS-operatører. Overgangen ble ledsaget av omfattende bruk av kunstig intelligens for å støtte utvikling av ransomware, vedlikehold av verktøy og aktiviteter etter utnyttelse.

Trusseletterretningsvurderinger indikerer at LARVA-368 tidligere opererte innenfor Embargo ransomware-gruppen før de lanserte en egen operasjon under ArmCorp-merket. Fire måneder senere ble operasjonen omdøpt til The Gentlemen.

Tidspunktet for denne overgangen var tett knyttet til en offentlig tvist mellom LARVA-368 og løsepengevirusoperasjonen Qilin. Trusselaktøren anklaget Qilin for å ha utført en exit-svindel og holdt tilbake omtrent 48 000 dollar i inntekter.

For å styrke markedstilstedeværelsen i undergrunnsmiljøer har Phantom Mantis investert i premiummedlemskap på fora for nettkriminelle. Kommunikasjon og tekniske støttefunksjoner administreres i stor grad av en egen russisktalende persona kjent som The Gentlemen Data.

Et modent og raskt voksende økosystem for løsepengevirus

Sikkerhetsforskere karakteriserer The Gentlemen som en svært tilpasningsdyktig og raskt utviklende ransomware-operasjon som kombinerer tradisjonelle ransomware-teknikker med moderne RaaS-funksjoner. Den operasjonelle modellen inkluderer dobbel utpressing, plattformuavhengige ransomware-varianter, fleksible spredningsmekanismer og omfattende tilknyttet støtte.

Gruppen har raskt blitt en av de mest aktive ransomware-aktørene i trussellandskapet, og sto for omtrent 10 % av all observert ransomware-aktivitet i april 2026. Angrepskampanjer følger vanligvis en bedriftsfokusert inntrengingskjede som starter gjennom sårbare internettvendte tjenester eller kompromitterte legitimasjonsopplysninger.

Analyser tyder videre på at operatører dynamisk kan endre taktikker under inntrenginger. Aktivitetene har inkludert manipulering av gruppepolicyobjekter (GPO-er), kompromittering av privilegerte kontoer og utrulling av tilpassede teknikker som er utformet for å omgå sikkerhetskontroller for endepunkter.

Offerfordelingen indikerer et overveiende internasjonalt fokus. Bare rundt 13 % av kjente ofre befinner seg i USA, mens de høyeste konsentrasjonene av ofre er observert i Thailand, Storbritannia, Brasil, Tyskland og India.

Tilknyttet støtte og kriminell forretningsdrift

The Gentlemen opprettholder et strukturert tilknyttet økosystem som støttes direkte av LARVA-368. Dedikerte kontoer på The Gentlemen IM-plattformen gir assistanse for krypteringsprosesser og inntrengingsrelaterte utfordringer, inkludert tilgang til EDR-omgåelsesverktøy som utnytter Bring Your Own Vulnerable Driver (BYOVD)-teknikker.

Støttetjenester for både The Gentlemen og The Gentlemen Data er tilgjengelige gjennom meldingsplattformene Tox, SimpleX Chat og Ricochet Refresh. Potensielle partnere må sende inn minst 1 GB med stjålne offerdata før de får tilgang til partnerportalen. Dette kravet ser ut til å være ment å forhindre at forskere og politimyndigheter infiltrerer plattformen ved å utgi seg for å være partnere.

Portalen for tilknyttet selskapsadministrasjon muliggjør brukeradministrasjon, målkonfigurasjon og håndtering av ransomware-distribusjon. For å tiltrekke deltakere fremmer virksomheten en aggressiv inntektsdelingsstruktur som fordeler 90 % av overskuddet til tilknyttede selskaper og 10 % til operatørene.

Teknisk infrastruktur og angrepsmetodikk

Gruppen tilbyr fem varianter av ransomware som er utviklet for å målrette Windows-, Linux-, ESXi-, Windows XP- og nyere systemer, samt miljøer som bruker Logical Volume Manager (LVM). Innledende tilgangsoperasjoner fokuserer vanligvis på internettrettet infrastruktur som VPN-enheter, brannmurer og edge-enheter.

Innbruddslivssyklusen omfatter et bredt arsenal av offensive verktøy og teknikker:

  • Red-team-verktøy som NetExec, RelayKing, TaskHound, PrivHound og CertiHound brukes til Active Directory-rekognosering, sertifikatmisbruk, rettighetseskalering og nettverksdeling. Ytterligere verktøy, inkludert EDRStartupHinder, gfreeze, glinker og DumpBrowserSecrets, forenkler forsvarsunddragelse og legitimasjonstyveri, mens Velociraptor støtter kommando- og kontrollaktiviteter.
  • Tiltak etter kompromittering inkluderer ofte å tømme Windows system-, program- og sikkerhetshendelseslogger, deaktivere Microsoft Defender og opprette antivirusekskluderinger for å redusere mulighetene for oppdagelse.

Løsepengeviruset bruker en hybrid krypteringsmodell som kombinerer X25519-nøkkelutveksling med symmetrisk XChaCha20-kryptering. Forskere som sporer aktivitetsklyngen som Storm-2697, bestemte at skadevaren er skrevet i Go og obfuskert ved hjelp av Garble.

En spesielt farlig funksjon aktiveres gjennom parameteren '--spread', som konverterer ransomware fra en krypteringsenhet med én vert til en selvforplantende orm som er i stand til å distribuere seg selv på tvers av tilgjengelige nettverkssystemer. Når den kjøres med argumentet '--wipe', utfører skadevaren ytterligere handlinger som har til hensikt å eliminere gjenopprettbare artefakter etter kryptering.

Utpressingstaktikker og operasjonell smidighet

Bevis tyder på at The Gentlemen bruker en flerkanals utpressingsstrategi som strekker seg utover utplassering av ransomware. Ofre kan også møte direkte e-postkommunikasjon og telefonbaserte presskampanjer som er utformet for å øke sannsynligheten for betaling.

Gruppens utviklingssyklus viser en uvanlig høy responstid. Et bemerkelsesverdig eksempel skjedde i april 2026 da operatørene ga ut en oppdatering samme dag som en dekrypteringsprogramvare ble offentlig tilgjengelig.

Innbrudd forblir vanligvis uoppdaget i perioder fra to til seks uker før kryptering utføres. Organisasjoner som driver VMware-infrastruktur ser ut til å være et spesielt fokus for målrettet innsats.

Interne lekkasjer avslører organisasjonsstruktur

Et betydelig etterretningsgjennombrudd skjedde i mai 2026 etter at en intern Rocket.Chat-database som ble brukt av gruppen ble avslørt. Lekkasjen inneholdt 3366 meldinger som ble utvekslet mellom november 2025 og slutten av april 2026, og ga verdifull innsikt i operasjonens interne struktur og arbeidsflyter.

Kommunikasjonene avdekket en klar ansvarsfordeling mellom medlemmene og dokumenterte bruken av sårbarheter som påvirket VMware Aria Operations, Fortinet, Cisco og Microsoft-teknologier. Opptegnelsene viste et velorganisert kriminelt foretak med spesialiserte roller som støttet ulike faser av angrepsoperasjoner.

Den lekkede informasjonen viste også aktiv overvåking og evaluering av nye sårbarheter, inkludert CVE-2024-55591, CVE-2025-32433 og CVE-2025-33073. Disse angrepene ble kombinert med ytterligere angrepsveier som involverte misbruk av backup-systemer, kompromittering av administrasjonskontrollere og NTLM-reléteknikker, noe som skapte et svært fleksibelt rammeverk for utnyttelse.

Eksponering av et komplett verktøysett for operatører

I mars 2026 identifiserte cybersikkerhetsforskere en eksponert katalog som var lagret på Proton66 bulletproof-hostingtjenesten. Katalogen inneholdt 126 filer tilskrevet en The Gentlemen RaaS-tilknyttet selskap og eksponerte effektivt et komplett verktøysett for ransomware-operatører.

Det lekkede verktøysettet dekket nesten alle stadier av angrepslivssyklusen:

  • Rekognosering og offerprofilering
  • Opptrapping av privilegier
  • Forsvarsunddragelse
  • Legitimasjonstyveri
  • Lateral bevegelse
  • Persistensmekanismer
  • Forberedelsesaktiviteter før kryptering

Bredden i verktøysettet fremhevet økosystemets operative modenhet og ga et sjeldent glimt inn i ressursene som er tilgjengelige for tilknyttede selskaper.

Trusselen bak merkevaren

LARVA-368 har vært involvert i utpressingsfokusert nettkriminell aktivitet siden minst 2020. Erfaring opparbeidet gjennom samarbeid med flere ransomware-operasjoner ser ut til å ha gitt den tekniske ekspertisen, operative kunnskapen og det kriminelle nettverket som er nødvendig for å etablere og skalere The Gentlemen til en betydelig uavhengig RaaS-virksomhet.

Virksomhetens kombinasjon av teknisk raffinement, affiliate-fokusert forretningspraksis, raske utviklingssykluser og aggressive utpressingstaktikker har plassert The Gentlemen blant de mest fremtredende ransomware-truslene som organisasjoner over hele verden står overfor for tiden.

Trender

Mest sett

Laster inn...