ਦ ਜੈਂਟਲਮੈਨ ਰੈਨਸਮਵੇਅਰ

ਦ ਜੈਂਟਲਮੈਨ ਆਪ੍ਰੇਸ਼ਨ ਦੀ ਜਾਂਚ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਧਮਕੀ ਸਮੂਹ ਅਸਲ ਵਿੱਚ ਇੱਕ ਸਹਿਯੋਗੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਸੀ ਜੋ ਦੋਹਰੇ-ਜਬਰਦਸਤੀ ਹਮਲੇ ਕਰਦਾ ਸੀ ਜਦੋਂ ਕਿ ਕਈ ਰੈਨਸਮਵੇਅਰ-ਏਜ਼-ਏ-ਸਰਵਿਸ (RaaS) ਈਕੋਸਿਸਟਮ, ਜਿਸ ਵਿੱਚ LockBit, Qilin, ਅਤੇ Medusa ਸ਼ਾਮਲ ਹਨ, ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਸਰੋਤਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਸੀ।

ਇਸ ਕਾਰਵਾਈ ਨੂੰ ਕਈ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਫੈਂਟਮ ਮੈਂਟਿਸ ਨਾਮ ਹੇਠ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਸਦੀ ਅਗਵਾਈ ਇੱਕ ਰੂਸੀ ਬੋਲਣ ਵਾਲੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਦੁਆਰਾ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜਿਸਨੂੰ LARVA-368 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਵਿਅਕਤੀ ਕਈ ਔਨਲਾਈਨ ਉਪਨਾਮਾਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਜਿਸ ਵਿੱਚ hastalamuerte, ArmCorp, zeta88, nobody0, ਅਤੇ santamuerte ਸ਼ਾਮਲ ਹਨ। ਮਾਰਚ 2025 ਤੋਂ ਸਰਗਰਮ, ਇਸ ਸਮੂਹ ਨੇ ਜਨਤਕ ਤੌਰ 'ਤੇ 478 ਪੀੜਤਾਂ ਦੀ ਜ਼ਿੰਮੇਵਾਰੀ ਲਈ ਹੈ।

ਧਮਕੀ ਸਮੂਹ ਦਾ ਉਭਾਰ

ਜੁਲਾਈ 2025 ਵਿੱਚ ਇੱਕ ਵੱਡਾ ਬਦਲਾਅ ਆਇਆ ਜਦੋਂ ਫੈਂਟਮ ਮੈਂਟਿਸ ਦ ਜੈਂਟਲਮੈਨ ਵਿੱਚ ਵਿਕਸਤ ਹੋਇਆ, ਇੱਕ ਸੁਤੰਤਰ ਭਾਈਵਾਲੀ ਪ੍ਰੋਗਰਾਮ ਜੋ ਹੁਣ ਬਾਹਰੀ RaaS ਆਪਰੇਟਰਾਂ 'ਤੇ ਨਿਰਭਰ ਨਹੀਂ ਹੈ। ਇਸ ਬਦਲਾਅ ਦੇ ਨਾਲ ਰੈਨਸਮਵੇਅਰ ਵਿਕਾਸ, ਟੂਲ ਰੱਖ-ਰਖਾਅ, ਅਤੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ ਦੀ ਵਿਆਪਕ ਵਰਤੋਂ ਕੀਤੀ ਗਈ।

ਧਮਕੀ ਖੁਫੀਆ ਮੁਲਾਂਕਣ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ LARVA-368 ਪਹਿਲਾਂ ArmCorp ਬ੍ਰਾਂਡ ਦੇ ਤਹਿਤ ਇੱਕ ਵੱਖਰਾ ਆਪ੍ਰੇਸ਼ਨ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ Embargo ransomware ਸਮੂਹ ਦੇ ਅੰਦਰ ਕੰਮ ਕਰਦਾ ਸੀ। ਚਾਰ ਮਹੀਨਿਆਂ ਬਾਅਦ, ਆਪ੍ਰੇਸ਼ਨ ਨੂੰ The Gentlemen ਦੇ ਰੂਪ ਵਿੱਚ ਦੁਬਾਰਾ ਬ੍ਰਾਂਡ ਕੀਤਾ ਗਿਆ।

ਇਸ ਤਬਦੀਲੀ ਦਾ ਸਮਾਂ LARVA-368 ਅਤੇ ਕਿਲਿਨ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨ ਵਿਚਕਾਰ ਜਨਤਕ ਵਿਵਾਦ ਨਾਲ ਨੇੜਿਓਂ ਮੇਲ ਖਾਂਦਾ ਸੀ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਨੇ ਕਿਲਿਨ 'ਤੇ ਐਗਜ਼ਿਟ ਘੁਟਾਲਾ ਕਰਨ ਅਤੇ ਲਗਭਗ $48,000 ਦੀ ਕਮਾਈ ਨੂੰ ਰੋਕਣ ਦਾ ਦੋਸ਼ ਲਗਾਇਆ।

ਭੂਮੀਗਤ ਭਾਈਚਾਰਿਆਂ ਦੇ ਅੰਦਰ ਬਾਜ਼ਾਰ ਦੀ ਮੌਜੂਦਗੀ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ, ਫੈਂਟਮ ਮੈਂਟਿਸ ਨੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਫੋਰਮਾਂ 'ਤੇ ਪ੍ਰੀਮੀਅਮ ਮੈਂਬਰਸ਼ਿਪਾਂ ਵਿੱਚ ਨਿਵੇਸ਼ ਕੀਤਾ ਹੈ। ਸੰਚਾਰ ਅਤੇ ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਕਾਰਜ ਮੁੱਖ ਤੌਰ 'ਤੇ ਇੱਕ ਵੱਖਰੇ ਰੂਸੀ-ਭਾਸ਼ੀ ਵਿਅਕਤੀ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਜਿਸਨੂੰ ਦ ਜੈਂਟਲਮੈਨ ਡੇਟਾ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

ਇੱਕ ਪਰਿਪੱਕ ਅਤੇ ਤੇਜ਼ੀ ਨਾਲ ਵਧ ਰਿਹਾ ਰੈਨਸਮਵੇਅਰ ਈਕੋਸਿਸਟਮ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਦ ਜੈਂਟਲਮੈਨ ਨੂੰ ਇੱਕ ਬਹੁਤ ਹੀ ਅਨੁਕੂਲ ਅਤੇ ਤੇਜ਼ੀ ਨਾਲ ਵਿਕਸਤ ਹੋਣ ਵਾਲੇ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨ ਵਜੋਂ ਦਰਸਾਉਂਦੇ ਹਨ ਜੋ ਰਵਾਇਤੀ ਰੈਨਸਮਵੇਅਰ ਤਕਨੀਕਾਂ ਨੂੰ ਆਧੁਨਿਕ RaaS ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਜੋੜਦਾ ਹੈ। ਇਸਦੇ ਸੰਚਾਲਨ ਮਾਡਲ ਵਿੱਚ ਡਬਲ ਐਕਸਟਰਸਮੈਂਟ, ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਰੈਨਸਮਵੇਅਰ ਵੇਰੀਐਂਟ, ਲਚਕਦਾਰ ਪ੍ਰਸਾਰ ਵਿਧੀ ਅਤੇ ਵਿਆਪਕ ਐਫੀਲੀਏਟ ਸਹਾਇਤਾ ਸ਼ਾਮਲ ਹੈ।

ਇਹ ਸਮੂਹ ਤੇਜ਼ੀ ਨਾਲ ਖਤਰੇ ਦੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ ਸਭ ਤੋਂ ਵੱਧ ਸਰਗਰਮ ਰੈਨਸਮਵੇਅਰ ਅਦਾਕਾਰਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਜੋਂ ਉਭਰਿਆ ਹੈ, ਜੋ ਅਪ੍ਰੈਲ 2026 ਦੌਰਾਨ ਦੇਖੀ ਗਈ ਸਾਰੀ ਰੈਨਸਮਵੇਅਰ ਗਤੀਵਿਧੀ ਦਾ ਲਗਭਗ 10% ਹੈ। ਹਮਲੇ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਐਂਟਰਪ੍ਰਾਈਜ਼-ਕੇਂਦ੍ਰਿਤ ਘੁਸਪੈਠ ਲੜੀ ਦੀ ਪਾਲਣਾ ਕਰਦੀਆਂ ਹਨ ਜੋ ਕਮਜ਼ੋਰ ਇੰਟਰਨੈਟ-ਫੇਸਿੰਗ ਸੇਵਾਵਾਂ ਜਾਂ ਸਮਝੌਤਾ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਰਾਹੀਂ ਸ਼ੁਰੂ ਹੁੰਦੀਆਂ ਹਨ।

ਵਿਸ਼ਲੇਸ਼ਣ ਅੱਗੇ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਆਪਰੇਟਰ ਘੁਸਪੈਠ ਦੌਰਾਨ ਰਣਨੀਤੀਆਂ ਨੂੰ ਗਤੀਸ਼ੀਲ ਰੂਪ ਵਿੱਚ ਸੋਧ ਸਕਦੇ ਹਨ। ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਗਰੁੱਪ ਪਾਲਿਸੀ ਆਬਜੈਕਟ (GPOs) ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨਾ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਖਾਤਿਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨਾ, ਅਤੇ ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਅਨੁਕੂਲਿਤ ਤਕਨੀਕਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।

ਪੀੜਤਾਂ ਦੀ ਵੰਡ ਮੁੱਖ ਤੌਰ 'ਤੇ ਅੰਤਰਰਾਸ਼ਟਰੀ ਫੋਕਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਸਿਰਫ਼ 13% ਜਾਣੇ-ਪਛਾਣੇ ਪੀੜਤ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵਿੱਚ ਸਥਿਤ ਹਨ, ਜਦੋਂ ਕਿ ਪੀੜਤਾਂ ਦੀ ਸਭ ਤੋਂ ਵੱਧ ਗਾੜ੍ਹਾਪਣ ਥਾਈਲੈਂਡ, ਯੂਨਾਈਟਿਡ ਕਿੰਗਡਮ, ਬ੍ਰਾਜ਼ੀਲ, ਜਰਮਨੀ ਅਤੇ ਭਾਰਤ ਵਿੱਚ ਦੇਖੀ ਗਈ ਹੈ।

ਐਫੀਲੀਏਟ ਸਹਾਇਤਾ ਅਤੇ ਅਪਰਾਧਿਕ ਵਪਾਰਕ ਕਾਰਜ

ਜੈਂਟਲਮੈਨ ਇੱਕ ਢਾਂਚਾਗਤ ਐਫੀਲੀਏਟ ਈਕੋਸਿਸਟਮ ਬਣਾਈ ਰੱਖਦਾ ਹੈ ਜੋ ਸਿੱਧੇ LARVA-368 ਦੁਆਰਾ ਸਮਰਥਤ ਹੈ। ਜੈਂਟਲਮੈਨ IM ਪਲੇਟਫਾਰਮ 'ਤੇ ਸਮਰਪਿਤ ਖਾਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਘੁਸਪੈਠ-ਸਬੰਧਤ ਚੁਣੌਤੀਆਂ ਲਈ ਸਹਾਇਤਾ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ EDR ਬਾਈਪਾਸ ਟੂਲਸ ਤੱਕ ਪਹੁੰਚ ਸ਼ਾਮਲ ਹੈ ਜੋ ਬ੍ਰਿੰਗ ਯੂਅਰ ਓਨ ਵਲਨਰੇਬਲ ਡਰਾਈਵਰ (BYOVD) ਤਕਨੀਕਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ।

ਦ ਜੈਂਟਲਮੈਨ ਅਤੇ ਦ ਜੈਂਟਲਮੈਨ ਡੇਟਾ ਦੋਵਾਂ ਲਈ ਸਹਾਇਤਾ ਸੇਵਾਵਾਂ ਟੌਕਸ, ਸਿੰਪਲਐਕਸ ਚੈਟ, ਅਤੇ ਰਿਕੋਸ਼ੇਟ ਰਿਫ੍ਰੈਸ਼ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਰਾਹੀਂ ਉਪਲਬਧ ਹਨ। ਸੰਭਾਵੀ ਸਹਿਯੋਗੀਆਂ ਨੂੰ ਐਫੀਲੀਏਟ ਪੋਰਟਲ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਘੱਟੋ-ਘੱਟ 1 GB ਚੋਰੀ ਹੋਏ ਪੀੜਤ ਡੇਟਾ ਨੂੰ ਜਮ੍ਹਾਂ ਕਰਾਉਣਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਲੋੜ ਖੋਜਕਰਤਾਵਾਂ ਅਤੇ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਾਲੀਆਂ ਏਜੰਸੀਆਂ ਨੂੰ ਐਫੀਲੀਏਟ ਵਜੋਂ ਪੇਸ਼ ਕਰਕੇ ਪਲੇਟਫਾਰਮ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਤੋਂ ਰੋਕਣ ਲਈ ਜਾਪਦੀ ਹੈ।

ਐਫੀਲੀਏਟ ਮੈਨੇਜਮੈਂਟ ਪੋਰਟਲ ਯੂਜ਼ਰ ਐਡਮਿਨਿਸਟ੍ਰੇਸ਼ਨ, ਟਾਰਗੇਟ ਕੌਂਫਿਗਰੇਸ਼ਨ, ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਡਿਪਲਾਇਮੈਂਟ ਮੈਨੇਜਮੈਂਟ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਭਾਗੀਦਾਰਾਂ ਨੂੰ ਆਕਰਸ਼ਿਤ ਕਰਨ ਲਈ, ਇਹ ਓਪਰੇਸ਼ਨ ਇੱਕ ਹਮਲਾਵਰ ਮਾਲੀਆ-ਸ਼ੇਅਰਿੰਗ ਢਾਂਚੇ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਦਾ ਹੈ ਜੋ 90% ਮੁਨਾਫ਼ੇ ਨੂੰ ਐਫੀਲੀਏਟਾਂ ਨੂੰ ਅਤੇ 10% ਆਪਰੇਟਰਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ।

ਤਕਨੀਕੀ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਅਤੇ ਹਮਲੇ ਦੀ ਵਿਧੀ

ਇਹ ਸਮੂਹ ਪੰਜ ਰੈਨਸਮਵੇਅਰ ਰੂਪ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਜੋ Windows, Linux, ESXi, Windows XP ਅਤੇ ਬਾਅਦ ਵਾਲੇ ਸਿਸਟਮਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਲਾਜੀਕਲ ਵਾਲੀਅਮ ਮੈਨੇਜਰ (LVM) ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਕਾਰਜ ਆਮ ਤੌਰ 'ਤੇ VPN ਉਪਕਰਣਾਂ, ਫਾਇਰਵਾਲਾਂ ਅਤੇ ਐਜ ਡਿਵਾਈਸਾਂ ਵਰਗੇ ਇੰਟਰਨੈਟ-ਮੁਖੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦੇ ਹਨ।

ਘੁਸਪੈਠ ਜੀਵਨ ਚੱਕਰ ਵਿੱਚ ਹਮਲਾਵਰ ਔਜ਼ਾਰਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਦਾ ਇੱਕ ਵਿਸ਼ਾਲ ਹਥਿਆਰ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ:

• NetExec, RelayKing, TaskHound, PrivHound, ਅਤੇ CertiHound ਵਰਗੀਆਂ ਰੈੱਡ-ਟੀਮ ਉਪਯੋਗਤਾਵਾਂ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਖੋਜ, ਸਰਟੀਫਿਕੇਟ ਦੁਰਵਰਤੋਂ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ, ਅਤੇ ਨੈੱਟਵਰਕ-ਸ਼ੇਅਰ ਖੋਜ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। EDRStartupHinder, gfreeze, glinker, ਅਤੇ DumpBrowserSecrets ਸਮੇਤ ਵਾਧੂ ਟੂਲ ਰੱਖਿਆ ਚੋਰੀ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ, ਜਦੋਂ ਕਿ Velociraptor ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਗਤੀਵਿਧੀਆਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।
• ਸਮਝੌਤਾ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਅਕਸਰ ਵਿੰਡੋਜ਼ ਸਿਸਟਮ, ਐਪਲੀਕੇਸ਼ਨ, ਅਤੇ ਸੁਰੱਖਿਆ ਇਵੈਂਟ ਲੌਗਸ ਨੂੰ ਸਾਫ਼ ਕਰਨਾ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਡਿਫੈਂਡਰ ਨੂੰ ਅਯੋਗ ਕਰਨਾ, ਅਤੇ ਖੋਜ ਦੇ ਮੌਕਿਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਐਂਟੀਵਾਇਰਸ ਐਕਸਕਲੂਜ਼ਨ ਬਣਾਉਣਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ।

ਰੈਨਸਮਵੇਅਰ ਇੱਕ ਹਾਈਬ੍ਰਿਡ ਇਨਕ੍ਰਿਪਸ਼ਨ ਮਾਡਲ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜੋ X25519 ਕੀ ਐਕਸਚੇਂਜ ਨੂੰ XChaCha20 ਸਮਮਿਤੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨਾਲ ਜੋੜਦਾ ਹੈ। Storm-2697 ਦੇ ਰੂਪ ਵਿੱਚ ਗਤੀਵਿਧੀ ਕਲੱਸਟਰ ਨੂੰ ਟਰੈਕ ਕਰਨ ਵਾਲੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਹ ਨਿਰਧਾਰਤ ਕੀਤਾ ਕਿ ਮਾਲਵੇਅਰ Go ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ ਅਤੇ Garble ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਅਸਪਸ਼ਟ ਕੀਤਾ ਗਿਆ ਹੈ।

'--spread' ਪੈਰਾਮੀਟਰ ਰਾਹੀਂ ਇੱਕ ਖਾਸ ਤੌਰ 'ਤੇ ਖ਼ਤਰਨਾਕ ਸਮਰੱਥਾ ਸਮਰੱਥ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਸਿੰਗਲ-ਹੋਸਟ ਐਨਕ੍ਰਿਪਟਰ ਤੋਂ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਇੱਕ ਸਵੈ-ਪ੍ਰਚਾਰ ਕਰਨ ਵਾਲੇ ਕੀੜੇ ਵਿੱਚ ਬਦਲਦਾ ਹੈ ਜੋ ਪਹੁੰਚਯੋਗ ਨੈੱਟਵਰਕ ਸਿਸਟਮਾਂ ਵਿੱਚ ਆਪਣੇ ਆਪ ਨੂੰ ਵੰਡਣ ਦੇ ਸਮਰੱਥ ਹੈ। ਜਦੋਂ '--wipe' ਆਰਗੂਮੈਂਟ ਨਾਲ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਏਨਕ੍ਰਿਪਸ਼ਨ ਤੋਂ ਬਾਅਦ ਰਿਕਵਰੀਯੋਗ ਕਲਾਕ੍ਰਿਤੀਆਂ ਨੂੰ ਖਤਮ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਵਾਧੂ ਕਾਰਵਾਈਆਂ ਕਰਦਾ ਹੈ।

ਜਬਰੀ ਵਸੂਲੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਚੁਸਤੀ

ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਦ ਜੈਂਟਲਮੈਨ ਇੱਕ ਮਲਟੀ-ਚੈਨਲ ਜਬਰਦਸਤੀ ਰਣਨੀਤੀ ਚਲਾਉਂਦਾ ਹੈ ਜੋ ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀ ਤੋਂ ਪਰੇ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਸਿੱਧੇ ਈਮੇਲ ਸੰਚਾਰ ਅਤੇ ਟੈਲੀਫੋਨ-ਅਧਾਰਤ ਦਬਾਅ ਮੁਹਿੰਮਾਂ ਦਾ ਵੀ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈ ਸਕਦਾ ਹੈ ਜੋ ਭੁਗਤਾਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ।

ਸਮੂਹ ਦਾ ਵਿਕਾਸ ਚੱਕਰ ਇੱਕ ਅਸਾਧਾਰਨ ਤੌਰ 'ਤੇ ਉੱਚ ਪੱਧਰ ਦੀ ਜਵਾਬਦੇਹੀ ਦਰਸਾਉਂਦਾ ਹੈ। ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਉਦਾਹਰਣ ਅਪ੍ਰੈਲ 2026 ਵਿੱਚ ਵਾਪਰੀ ਜਦੋਂ ਓਪਰੇਟਰਾਂ ਨੇ ਉਸੇ ਦਿਨ ਇੱਕ ਪੈਚ ਜਾਰੀ ਕੀਤਾ ਜਿਸ ਦਿਨ ਇੱਕ ਡਿਕ੍ਰਿਪਟਰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਹੋਇਆ ਸੀ।

ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਾਗੂ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਦੋ ਤੋਂ ਛੇ ਹਫ਼ਤਿਆਂ ਤੱਕ ਘੁਸਪੈਠ ਆਮ ਤੌਰ 'ਤੇ ਅਣਪਛਾਤੀ ਰਹਿੰਦੀ ਹੈ। VMware ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਚਲਾਉਣ ਵਾਲੇ ਸੰਗਠਨ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਯਤਨਾਂ ਦਾ ਇੱਕ ਖਾਸ ਕੇਂਦਰ ਜਾਪਦੇ ਹਨ।

ਅੰਦਰੂਨੀ ਲੀਕ ਸੰਗਠਨਾਤਮਕ ਢਾਂਚੇ ਦਾ ਖੁਲਾਸਾ ਕਰਦੇ ਹਨ

ਮਈ 2026 ਵਿੱਚ ਸਮੂਹ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਇੱਕ ਅੰਦਰੂਨੀ Rocket.Chat ਡੇਟਾਬੇਸ ਦੇ ਪਰਦਾਫਾਸ਼ ਤੋਂ ਬਾਅਦ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖੁਫੀਆ ਸਫਲਤਾ ਹੋਈ। ਲੀਕ ਵਿੱਚ ਨਵੰਬਰ 2025 ਅਤੇ ਅਪ੍ਰੈਲ 2026 ਦੇ ਅਖੀਰ ਤੱਕ 3,366 ਸੁਨੇਹੇ ਬਦਲੇ ਗਏ ਸਨ, ਜੋ ਓਪਰੇਸ਼ਨ ਦੇ ਅੰਦਰੂਨੀ ਢਾਂਚੇ ਅਤੇ ਕਾਰਜ ਪ੍ਰਵਾਹ ਬਾਰੇ ਕੀਮਤੀ ਸਮਝ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।

ਸੰਚਾਰਾਂ ਨੇ ਮੈਂਬਰਾਂ ਵਿੱਚ ਜ਼ਿੰਮੇਵਾਰੀਆਂ ਦੀ ਇੱਕ ਸਪੱਸ਼ਟ ਵੰਡ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਅਤੇ VMware Aria Operations, Fortinet, Cisco, ਅਤੇ Microsoft ਤਕਨਾਲੋਜੀਆਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਵਰਤੋਂ ਦਾ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ। ਰਿਕਾਰਡਾਂ ਵਿੱਚ ਇੱਕ ਚੰਗੀ ਤਰ੍ਹਾਂ ਸੰਗਠਿਤ ਅਪਰਾਧਿਕ ਉੱਦਮ ਨੂੰ ਦਰਸਾਇਆ ਗਿਆ ਸੀ ਜਿਸ ਵਿੱਚ ਹਮਲੇ ਦੇ ਵੱਖ-ਵੱਖ ਪੜਾਵਾਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਵਾਲੀਆਂ ਵਿਸ਼ੇਸ਼ ਭੂਮਿਕਾਵਾਂ ਸਨ।

ਲੀਕ ਹੋਈ ਜਾਣਕਾਰੀ ਵਿੱਚ ਉੱਭਰ ਰਹੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਸਰਗਰਮ ਨਿਗਰਾਨੀ ਅਤੇ ਮੁਲਾਂਕਣ ਵੀ ਦਿਖਾਇਆ ਗਿਆ, ਜਿਸ ਵਿੱਚ CVE-2024-55591, CVE-2025-32433, ਅਤੇ CVE-2025-33073 ਸ਼ਾਮਲ ਹਨ। ਇਹਨਾਂ ਕਾਰਨਾਮ ਨੂੰ ਬੈਕਅੱਪ-ਸਿਸਟਮ ਦੁਰਵਰਤੋਂ, ਪ੍ਰਬੰਧਨ-ਕੰਟਰੋਲਰ ਸਮਝੌਤਾ, ਅਤੇ NTLM ਰੀਲੇਅ ਤਕਨੀਕਾਂ ਸਮੇਤ ਵਾਧੂ ਹਮਲੇ ਦੇ ਮਾਰਗਾਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਇੱਕ ਬਹੁਤ ਹੀ ਲਚਕਦਾਰ ਸ਼ੋਸ਼ਣ ਢਾਂਚਾ ਬਣਾਇਆ ਗਿਆ ਸੀ।

ਇੱਕ ਸੰਪੂਰਨ ਆਪਰੇਟਰ ਟੂਲਕਿੱਟ ਦਾ ਪ੍ਰਗਟਾਵਾ

ਮਾਰਚ 2026 ਵਿੱਚ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ Proton66 ਬੁਲੇਟਪਰੂਫ ਹੋਸਟਿੰਗ ਸੇਵਾ 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਗਈ ਇੱਕ ਬੇਨਕਾਬ ਡਾਇਰੈਕਟਰੀ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ The Gentlemen RaaS ਐਫੀਲੀਏਟ ਨਾਲ ਸਬੰਧਤ 126 ਫਾਈਲਾਂ ਸਨ ਅਤੇ ਇੱਕ ਪੂਰੀ ਰੈਨਸਮਵੇਅਰ ਆਪਰੇਟਰ ਟੂਲਕਿੱਟ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਬੇਨਕਾਬ ਕੀਤਾ।

ਲੀਕ ਹੋਏ ਟੂਲਕਿੱਟ ਨੇ ਹਮਲੇ ਦੇ ਜੀਵਨ ਚੱਕਰ ਦੇ ਲਗਭਗ ਹਰ ਪੜਾਅ ਨੂੰ ਕਵਰ ਕੀਤਾ:

• ਖੋਜ ਅਤੇ ਪੀੜਤ ਪ੍ਰੋਫਾਈਲਿੰਗ

ਟੂਲਕਿੱਟ ਦੀ ਚੌੜਾਈ ਨੇ ਈਕੋਸਿਸਟਮ ਦੀ ਕਾਰਜਸ਼ੀਲ ਪਰਿਪੱਕਤਾ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ ਅਤੇ ਸਹਿਯੋਗੀਆਂ ਲਈ ਉਪਲਬਧ ਸਰੋਤਾਂ ਦੀ ਇੱਕ ਦੁਰਲੱਭ ਝਲਕ ਪ੍ਰਦਾਨ ਕੀਤੀ।

ਬ੍ਰਾਂਡ ਦੇ ਪਿੱਛੇ ਖ਼ਤਰਾ

LARVA-368 ਘੱਟੋ-ਘੱਟ 2020 ਤੋਂ ਜਬਰਨ ਵਸੂਲੀ-ਕੇਂਦ੍ਰਿਤ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਰਿਹਾ ਹੈ। ਕਈ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਸਹਿਯੋਗ ਰਾਹੀਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਤਜਰਬੇ ਨੇ ਤਕਨੀਕੀ ਮੁਹਾਰਤ, ਸੰਚਾਲਨ ਗਿਆਨ, ਅਤੇ ਅਪਰਾਧਿਕ ਨੈੱਟਵਰਕ ਨੂੰ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸੁਤੰਤਰ RaaS ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਿੱਚ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਸਕੇਲ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਪ੍ਰਦਾਨ ਕੀਤਾ ਜਾਪਦਾ ਹੈ।

ਇਸ ਓਪਰੇਸ਼ਨ ਦੇ ਤਕਨੀਕੀ ਸੂਝ-ਬੂਝ, ਐਫੀਲੀਏਟ-ਕੇਂਦ੍ਰਿਤ ਵਪਾਰਕ ਅਭਿਆਸਾਂ, ਤੇਜ਼ ਵਿਕਾਸ ਚੱਕਰਾਂ, ਅਤੇ ਹਮਲਾਵਰ ਜਬਰਦਸਤੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਦੇ ਸੁਮੇਲ ਨੇ ਦ ਜੈਂਟਲਮੈਨ ਨੂੰ ਦੁਨੀਆ ਭਰ ਦੇ ਸੰਗਠਨਾਂ ਨੂੰ ਇਸ ਸਮੇਂ ਦਰਪੇਸ਼ ਸਭ ਤੋਂ ਪ੍ਰਮੁੱਖ ਰੈਨਸਮਵੇਅਰ ਖਤਰਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ।