बहु-लाइसेन्स छूट उद्धरण
खतरा डाटाबेस Ransomware द जेन्टलमेन र्‍यान्समवेयर

द जेन्टलमेन र्‍यान्समवेयर

Ransomware, उन्नत लगातार खतरा (एपीटी) मा Mezo सम्म
यसमा अनुवाद गर्नुहोस्:

द जेन्टलमेन अपरेशनको अनुसन्धानले खुलासा गरेको छ कि आर्थिक रूपमा प्रेरित धम्की समूहले मूल रूपमा लकबिट, किलिन र मेडुसा लगायत धेरै र्‍यान्समवेयर-एज-ए-सर्भिस (RaaS) इकोसिस्टमहरूद्वारा प्रदान गरिएको पूर्वाधार र स्रोतहरूको फाइदा उठाउँदै दोहोरो जबरजस्ती आक्रमणहरू सञ्चालन गर्ने सम्बद्धको रूपमा काम गरेको थियो।

यो अपरेशनलाई धेरै अनुसन्धानकर्ताहरूले फ्यान्टम म्यान्टिस नामले ट्र्याक गरेका छन् र यसको नेतृत्व LARVA-368 भनेर चिनिने रूसी भाषा बोल्ने साइबर अपराधीले गरिरहेका छन्। यो व्यक्ति hastalamuerte, ArmCorp, zeta88, nobody0, र santamuerte लगायत धेरै अनलाइन उपनामहरूसँग सम्बन्धित छ। मार्च २०२५ देखि सक्रिय, समूहले सार्वजनिक रूपमा ४७८ पीडितहरूको जिम्मेवारी लिएको छ।

खतरा समूहको उदय

जुलाई २०२५ मा एउटा ठूलो परिवर्तन भयो जब फ्यान्टम म्यान्टिस द जेन्टलमेनमा विकसित भयो, एक स्वतन्त्र साझेदारी कार्यक्रम जुन अब बाह्य RaaS अपरेटरहरूमा निर्भर छैन। यो संक्रमण ransomware विकास, उपकरण मर्मतसम्भार, र शोषण पछिका गतिविधिहरूलाई समर्थन गर्न कृत्रिम बुद्धिमत्ताको व्यापक प्रयोगसँगै थियो।

खतरा गुप्तचर मूल्याङ्कनहरूले संकेत गर्दछ कि LARVA-368 पहिले ArmCorp ब्रान्ड अन्तर्गत छुट्टै अपरेशन सुरु गर्नु अघि Embargo ransomware समूह भित्र सञ्चालन गरिएको थियो। चार महिना पछि, अपरेशनलाई The Gentlemen को रूपमा पुन: ब्रान्ड गरिएको थियो।

यो संक्रमणको समय LARVA-368 र Qilin ransomware अपरेशन बीचको सार्वजनिक विवादसँग नजिकबाट मिल्दोजुल्दो थियो। धम्की दिने अभिनेताले Qilin लाई एक्जिट घोटाला गरेको र लगभग $४८,००० कमाई रोकेको आरोप लगाए।

भूमिगत समुदायहरूमा बजार उपस्थिति बलियो बनाउन, फ्यान्टम म्यान्टिसले साइबर अपराध फोरमहरूमा प्रिमियम सदस्यताहरूमा लगानी गरेको छ। सञ्चार र प्राविधिक समर्थन कार्यहरू मुख्यतया द जेन्टलमेन डाटा भनेर चिनिने छुट्टै रूसी-भाषी व्यक्तित्वद्वारा व्यवस्थित गरिन्छ।

एक परिपक्व र द्रुत गतिमा बढ्दो र्‍यानसमवेयर इकोसिस्टम

सुरक्षा अनुसन्धानकर्ताहरूले द जेन्टलमेनलाई अत्यधिक अनुकूलनीय र द्रुत-विकसित र्‍यान्समवेयर अपरेशनको रूपमा चित्रण गर्छन् जसले परम्परागत र्‍यान्समवेयर प्रविधिहरूलाई आधुनिक RaaS क्षमताहरूसँग संयोजन गर्दछ। यसको सञ्चालन मोडेलमा दोहोरो एक्सट्रुसन, क्रस-प्लेटफर्म र्‍यान्समवेयर भेरियन्टहरू, लचिलो प्रसार संयन्त्रहरू, र व्यापक सम्बद्ध समर्थन समावेश छ।

यो समूह धम्कीपूर्ण परिदृश्यमा सबैभन्दा सक्रिय ransomware अभिनेताहरू मध्ये एकको रूपमा द्रुत गतिमा उभिएको छ, जसले अप्रिल २०२६ मा अवलोकन गरिएका सबै ransomware गतिविधिको लगभग १०% ओगटेको छ। आक्रमण अभियानहरूले सामान्यतया उद्यम-केन्द्रित घुसपैठ श्रृंखलालाई पछ्याउँछन् जुन कमजोर इन्टरनेट-फेसिङ सेवाहरू वा सम्झौता गरिएका प्रमाणहरू मार्फत सुरु हुन्छ।

विश्लेषणले थप सुझाव दिन्छ कि अपरेटरहरूले घुसपैठको समयमा गतिशील रूपमा रणनीतिहरू परिमार्जन गर्न सक्छन्। गतिविधिहरूमा समूह नीति वस्तुहरू (GPOs) हेरफेर गर्ने, विशेषाधिकार प्राप्त खाताहरूमा सम्झौता गर्ने, र अन्तिम बिन्दु सुरक्षा नियन्त्रणहरूबाट बच्न डिजाइन गरिएका अनुकूलित प्रविधिहरू प्रयोग गर्ने समावेश छन्।

पीडित वितरणले मुख्यतया अन्तर्राष्ट्रिय फोकसलाई संकेत गर्दछ। लगभग १३% ज्ञात पीडितहरू मात्र संयुक्त राज्य अमेरिकामा अवस्थित छन्, जबकि पीडितहरूको उच्चतम सांद्रता थाइल्याण्ड, संयुक्त अधिराज्य, ब्राजिल, जर्मनी र भारतमा अवलोकन गरिएको छ।

सम्बद्ध समर्थन र आपराधिक व्यापार सञ्चालन

जेन्टलमेनले LARVA-368 द्वारा प्रत्यक्ष रूपमा समर्थित एक संरचित सम्बद्ध इकोसिस्टम कायम राख्छ। जेन्टलमेन IM प्लेटफर्ममा समर्पित खाताहरूले एन्क्रिप्शन प्रक्रियाहरू र घुसपैठ-सम्बन्धित चुनौतीहरूको लागि सहयोग प्रदान गर्दछ, जसमा ब्रिङ योर ओन भल्नरबल ड्राइभर (BYOVD) प्रविधिहरूको लाभ उठाउने EDR बाइपास उपकरणहरूमा पहुँच समावेश छ।

द जेन्टलमेन र द जेन्टलमेन डेटा दुवैका लागि समर्थन सेवाहरू टक्स, सिम्पलएक्स च्याट, र रिकोचेट रिफ्रेस मेसेजिङ प्लेटफर्महरू मार्फत उपलब्ध छन्। सम्भावित सम्बद्धहरूले सम्बद्ध पोर्टलमा पहुँच प्राप्त गर्नु अघि कम्तिमा १ जीबी चोरी भएको पीडित डेटा पेश गर्नुपर्छ। यो आवश्यकता अनुसन्धानकर्ताहरू र कानून प्रवर्तन एजेन्सीहरूलाई सम्बद्धको रूपमा प्रस्तुत गरेर प्लेटफर्ममा घुसपैठ गर्नबाट रोक्नको लागि हो जस्तो देखिन्छ।

सम्बद्ध व्यवस्थापन पोर्टलले प्रयोगकर्ता प्रशासन, लक्ष्य कन्फिगरेसन, र ransomware तैनाती व्यवस्थापन सक्षम बनाउँछ। सहभागीहरूलाई आकर्षित गर्न, सञ्चालनले आक्रामक राजस्व-साझेदारी संरचनालाई प्रवर्द्धन गर्दछ जसले ९०% नाफा सम्बद्धहरूलाई र १०% अपरेटरहरूलाई छुट्याउँछ।

प्राविधिक पूर्वाधार र आक्रमण पद्धति

समूहले विन्डोज, लिनक्स, ईएसएक्सआई, विन्डोज एक्सपी र पछिल्ला प्रणालीहरू, साथै लजिकल भोल्युम म्यानेजर (LVM) प्रयोग गर्ने वातावरणहरूलाई लक्षित गर्न डिजाइन गरिएका पाँचवटा र्यान्समवेयर भेरियन्टहरू प्रदान गर्दछ। प्रारम्भिक पहुँच सञ्चालनहरू सामान्यतया इन्टरनेट-फेसिङ पूर्वाधार जस्तै VPN उपकरणहरू, फायरवालहरू, र एज उपकरणहरूमा केन्द्रित हुन्छन्।

घुसपैठको जीवनचक्रमा आक्रामक उपकरणहरू र प्रविधिहरूको विस्तृत शस्त्रागार समावेश छ:

  • NetExec, RelayKing, TaskHound, PrivHound, र CertiHound जस्ता रेड-टिम उपयोगिताहरू सक्रिय निर्देशिका जासूसी, प्रमाणपत्र दुरुपयोग, विशेषाधिकार वृद्धि, र नेटवर्क-साझेदारी खोजको लागि प्रयोग गरिन्छ। EDRStartupHinder, gfreeze, glinker, र DumpBrowserSecrets सहित थप उपकरणहरूले रक्षा चोरी र प्रमाण चोरीलाई सहज बनाउँछन्, जबकि Velociraptor ले कमाण्ड-एन्ड-नियन्त्रण गतिविधिहरूलाई समर्थन गर्दछ।
  • सम्झौता पछिका कार्यहरूमा प्रायः विन्डोज प्रणाली, अनुप्रयोग, र सुरक्षा घटना लगहरू खाली गर्ने, माइक्रोसफ्ट डिफेन्डर असक्षम पार्ने, र पत्ता लगाउने अवसरहरू कम गर्न एन्टिभाइरस बहिष्करणहरू सिर्जना गर्ने समावेश हुन्छ।

ransomware ले X25519 की एक्सचेन्जलाई XChaCha20 सममितिक इन्क्रिप्सनसँग संयोजन गर्ने हाइब्रिड इन्क्रिप्सन मोडेल प्रयोग गर्दछ। Storm-2697 को रूपमा गतिविधि क्लस्टर ट्र्याक गर्ने अनुसन्धानकर्ताहरूले पत्ता लगाए कि मालवेयर Go मा लेखिएको छ र Garble प्रयोग गरेर अस्पष्ट गरिएको छ।

'--spread' प्यारामिटर मार्फत विशेष गरी खतरनाक क्षमता सक्षम पारिएको छ, जसले एकल-होस्ट इन्क्रिप्टरबाट ransomware लाई पहुँचयोग्य नेटवर्क प्रणालीहरूमा वितरण गर्न सक्षम स्व-प्रचारक कीरामा रूपान्तरण गर्दछ। '--wipe' तर्कको साथ कार्यान्वयन गर्दा, मालवेयरले एन्क्रिप्शन पछि पुन: प्राप्ति योग्य कलाकृतिहरू हटाउने उद्देश्यले अतिरिक्त कार्यहरू गर्दछ।

जबरजस्ती चन्दा उठाउने रणनीति र सञ्चालन चपलता

प्रमाणहरूले सुझाव दिन्छ कि द जेन्टलमेनले बहु-च्यानल जबरजस्ती चन्दा रणनीति सञ्चालन गर्दछ जुन ransomware तैनातीभन्दा बाहिर फैलिएको छ। पीडितहरूले भुक्तानीको सम्भावना बढाउन डिजाइन गरिएको प्रत्यक्ष इमेल सञ्चार र टेलिफोन-आधारित दबाब अभियानहरूको पनि सामना गर्न सक्छन्।

समूहको विकास चक्रले असामान्य रूपमा उच्च स्तरको प्रतिक्रियाशीलता प्रदर्शन गर्दछ। एउटा उल्लेखनीय उदाहरण अप्रिल २०२६ मा देखा पर्‍यो जब अपरेटरहरूले डिक्रिप्टर सार्वजनिक रूपमा उपलब्ध भएको दिनमा प्याच जारी गरे।

इन्क्रिप्शन कार्यान्वयन हुनुभन्दा दुई देखि छ हप्तासम्म घुसपैठहरू पत्ता लाग्दैनन्। VMware पूर्वाधार सञ्चालन गर्ने संस्थाहरू लक्षित प्रयासहरूको विशेष केन्द्रबिन्दु जस्तो देखिन्छ।

आन्तरिक चुहावटले संगठनात्मक संरचना प्रकट गर्दछ

समूहले प्रयोग गरेको आन्तरिक Rocket.Chat डाटाबेसको खुलासा पछि मे २०२६ मा एउटा महत्त्वपूर्ण गुप्तचर सफलता भयो। चुहावटमा नोभेम्बर २०२५ र अप्रिल २०२६ को अन्त्य बीच आदानप्रदान गरिएका ३,३६६ सन्देशहरू थिए, जसले अपरेशनको आन्तरिक संरचना र कार्यप्रवाहहरूमा बहुमूल्य अन्तर्दृष्टि प्रदान गर्‍यो।

सञ्चारहरूले सदस्यहरू बीच जिम्मेवारीहरूको स्पष्ट विभाजन प्रकट गर्‍यो र VMware Aria Operations, Fortinet, Cisco, र Microsoft प्रविधिहरूलाई असर गर्ने कमजोरीहरूको प्रयोगको दस्तावेजीकरण गर्‍यो। रेकर्डहरूले आक्रमण सञ्चालनका विभिन्न चरणहरूलाई समर्थन गर्ने विशेष भूमिकाहरू सहितको एक सुव्यवस्थित आपराधिक उद्यमलाई चित्रण गर्‍यो।

चुहावट गरिएको जानकारीले CVE-2024-55591, CVE-2025-32433, र CVE-2025-33073 सहित उदीयमान कमजोरीहरूको सक्रिय निगरानी र मूल्याङ्कन पनि देखाएको छ। यी शोषणहरूलाई ब्याकअप-प्रणाली दुरुपयोग, व्यवस्थापन-नियन्त्रक सम्झौता, र NTLM रिले प्रविधिहरू समावेश गर्ने अतिरिक्त आक्रमण मार्गहरूसँग जोडिएको थियो, जसले गर्दा अत्यधिक लचिलो शोषण ढाँचा सिर्जना भयो।

पूर्ण अपरेटर टूलकिटको प्रदर्शन

मार्च २०२६ मा, साइबर सुरक्षा अनुसन्धानकर्ताहरूले Proton66 बुलेटप्रुफ होस्टिङ सेवामा होस्ट गरिएको एउटा खुला निर्देशिका पहिचान गरे। निर्देशिकामा द जेन्टलमेन राएस सम्बद्धसँग सम्बन्धित १२६ फाइलहरू थिए र प्रभावकारी रूपमा पूर्ण र्यान्समवेयर अपरेटर टूलकिटको पर्दाफास गरे।

लीक भएको टुलकिटले आक्रमणको जीवनचक्रको लगभग हरेक चरणलाई समेटेको थियो:

  • छानबिन र पीडित प्रोफाइलिङ
  • विशेषाधिकार वृद्धि
  • रक्षा चोरी
  • प्रमाणपत्र चोरी
  • पार्श्व चाल
  • दृढता संयन्त्रहरू
  • पूर्व-गुप्तिकरण तयारी गतिविधिहरू

    • टूलकिटको चौडाइले पारिस्थितिक प्रणालीको परिचालन परिपक्वतालाई हाइलाइट गर्‍यो र सम्बद्धहरूलाई उपलब्ध स्रोतहरूमा दुर्लभ झलक प्रदान गर्‍यो।

    ब्रान्ड पछाडिको खतरा

    LARVA-368 कम्तिमा २०२० देखि जबरजस्ती चन्दा-केन्द्रित साइबर आपराधिक गतिविधिमा संलग्न छ। धेरै ransomware अपरेसनहरूसँगको सहकार्यबाट प्राप्त अनुभवले The Gentlemen लाई एक महत्त्वपूर्ण स्वतन्त्र RaaS उद्यममा स्थापना र मापन गर्न आवश्यक प्राविधिक विशेषज्ञता, परिचालन ज्ञान, र आपराधिक नेटवर्क प्रदान गरेको देखिन्छ।

    यस अपरेशनको प्राविधिक परिष्कार, सम्बद्ध-केन्द्रित व्यापार अभ्यासहरू, द्रुत विकास चक्रहरू, र आक्रामक जबरजस्ती चन्दा रणनीतिहरूको संयोजनले द जेन्टलमेनलाई हाल विश्वव्यापी रूपमा संस्थाहरूले सामना गरिरहेका सबैभन्दा प्रमुख र्यान्समवेयर खतराहरूमा राखेको छ।

    ट्रेन्डिङ

    Panaptor.co.in मा

    दुष्ट वेबसाइटहरू, एडवेयर, ब्राउजर अपहरणकर्ताहरू
    इन्टरनेट ब्राउज गर्दा सावधानी अपनाउनु पहिलेभन्दा धेरै महत्त्वपूर्ण छ। दुष्ट वेबसाइटहरूले आगन्तुकहरूलाई अनुमति दिन वा हानिकारक सामग्रीसँग अन्तर्क्रिया गर्न हेरफेर गर्न प्रायः भ्रामक युक्तिहरू प्रयोग...

    Aibrowseruodate.com

    दुष्ट वेबसाइटहरू, एडवेयर, ब्राउजर अपहरणकर्ताहरू
    इन्टरनेट ब्राउज गर्दा सावधानी अपनाउनु पहिलेभन्दा बढी महत्त्वपूर्ण छ। साइबर अपराधी र भ्रामक विज्ञापनदाताहरूले आगन्तुकहरूलाई हानिकारक कार्यहरू गर्न लगाइएका दुष्ट वेबसाइटहरू निरन्तर सिर्जना गर्छन्। यी...

    ExploreOpenWin

    एडवेयर
    म्याक प्रयोगकर्ताहरू, एक पटक मालवेयरको आक्रमणबाट अपेक्षाकृत प्रतिरक्षा मानिन्छ, विभिन्न असुरक्षित संस्थाहरू द्वारा बढ्दो रूपमा लक्षित छन्। यस्तै एक विरोधी हो एडवेयर एक्सप्लोर ओपनविन, कुख्यात एडलोड...

    धेरै हेरिएको

    Eporner.com ले

    मुद्दा
    21,506
    इन्टरनेट उपयोगी सामग्री, मनोरञ्जन र जानकारीले भरिएको विशाल ठाउँ हो—तर यसका अँध्यारा कुनाहरू पनि छन्। तपाईं कुनै कार्यक्रम स्ट्रिम गर्दै हुनुहुन्छ, एप डाउनलोड गर्दै हुनुहुन्छ, वा वयस्क सामग्री...

    Fuq.com

    रोग विरोधी स्पाइवेयर कार्यक्रम, म्याक मालवेयर
    19,838
    Fuq.com एक एडवेयर-प्रकारको कार्यक्रम हो जसले अश्लील सामग्री भएका वेबसाइटहरूलाई बढावा दिन्छ। यस सम्भावित अवांछित कार्यक्रम (PUP) को विज्ञापन अभियानहरू धेरै आक्रामक छन्। तिनीहरूले आफ्ना पीडितहरूलाई...
    लोड गर्दै...