The Gentlemen Ransomware

Śledztwo w sprawie operacji The Gentlemen wykazało, że grupa przestępcza motywowana finansowo pierwotnie działała jako podmiot stowarzyszony przeprowadzający podwójne ataki wymuszające okup, wykorzystując infrastrukturę i zasoby udostępniane przez wiele ekosystemów Ransomware-as-a-Service (RaaS), w tym LockBit, Qilin i Medusa.

Operację śledzi kilku badaczy pod pseudonimem Phantom Mantis, a kieruje nią rosyjskojęzyczny cyberprzestępca o pseudonimie LARVA-368. Osoba ta była powiązana z wieloma pseudonimami internetowymi, w tym hastalamuerte, ArmCorp, zeta88, nobody0 i santamuerte. Grupa, działająca od marca 2025 roku, publicznie przyznała się do odpowiedzialności za 478 ofiar.

Powstanie grupy zagrożeń

W lipcu 2025 roku nastąpiła znacząca transformacja, kiedy Phantom Mantis przekształcił się w The Gentlemen – niezależny program partnerski, który nie jest już zależny od zewnętrznych operatorów RaaS. Transformacji towarzyszyło szerokie wykorzystanie sztucznej inteligencji do wspierania rozwoju ransomware, konserwacji narzędzi i działań poeksploatacyjnych.

Oceny zagrożeń wskazują, że LARVA-368 działała wcześniej w ramach grupy ransomware Embargo, zanim uruchomiła odrębną operację pod marką ArmCorp. Cztery miesiące później operacja została przemianowana na The Gentlemen.

Moment tej zmiany był ściśle związany z publicznym sporem między LARVA-368 a atakiem ransomware Qilin. Aktor ataku oskarżył Qilin o przeprowadzenie oszustwa typu exit scam i zatrzymywanie około 48 000 dolarów zysku.

Aby wzmocnić swoją obecność na rynku w podziemnych społecznościach, Phantom Mantis zainwestował w płatne członkostwa na forach cyberprzestępców. Za komunikację i wsparcie techniczne odpowiada w dużej mierze osobna, rosyjskojęzyczna osoba znana jako The Gentlemen Data.

Dojrzały i szybko rozwijający się ekosystem oprogramowania ransomware

Badacze bezpieczeństwa opisują The Gentlemen jako wysoce adaptacyjną i szybko rozwijającą się operację ransomware, która łączy tradycyjne techniki ransomware z nowoczesnymi możliwościami RaaS. Jej model operacyjny obejmuje podwójne wymuszenia, wieloplatformowe warianty ransomware, elastyczne mechanizmy propagacji oraz rozbudowane wsparcie afiliacyjne.

Grupa ta szybko stała się jednym z najaktywniejszych podmiotów stosujących ransomware w krajobrazie zagrożeń, odpowiadając za około 10% całej zaobserwowanej aktywności ransomware w kwietniu 2026 r. Kampanie ataków zazwyczaj podążają za łańcuchem włamań ukierunkowanym na przedsiębiorstwa, który zaczyna się od podatnych na ataki usług internetowych lub naruszonych danych uwierzytelniających.

Analiza sugeruje również, że operatorzy mogą dynamicznie modyfikować taktykę podczas włamań. Działania te obejmowały manipulowanie obiektami zasad grupy (GPO), naruszanie uprawnień kont uprzywilejowanych oraz wdrażanie niestandardowych technik mających na celu obejście zabezpieczeń punktów końcowych.

Rozkład ofiar wskazuje na dominujący zasięg międzynarodowy. Tylko około 13% znanych ofiar znajduje się w Stanach Zjednoczonych, podczas gdy największe skupiska ofiar odnotowano w Tajlandii, Wielkiej Brytanii, Brazylii, Niemczech i Indiach.

Wsparcie afiliacyjne i działalność przestępcza

The Gentlemen utrzymuje ustrukturyzowany ekosystem partnerski, wspierany bezpośrednio przez LARVA-368. Dedykowane konta na platformie The Gentlemen IM zapewniają wsparcie w zakresie procesów szyfrowania i wyzwań związanych z włamaniami, w tym dostęp do narzędzi do omijania EDR, które wykorzystują techniki Bring Your Own Vulnerable Driver (BYOVD).

Usługi wsparcia dla The Gentlemen i The Gentlemen Data są dostępne za pośrednictwem platform komunikatorów Tox, SimpleX Chat i Ricochet Refresh. Potencjalni partnerzy muszą przesłać co najmniej 1 GB skradzionych danych ofiar, aby uzyskać dostęp do portalu partnerskiego. Wymóg ten wydaje się mieć na celu uniemożliwienie badaczom i organom ścigania infiltracji platformy podszywając się pod partnerów.

Portal zarządzania partnerami umożliwia administrowanie użytkownikami, konfigurację celów i zarządzanie wdrażaniem oprogramowania ransomware. Aby przyciągnąć uczestników, operacja promuje agresywną strukturę podziału przychodów, która przekazuje 90% zysków partnerom, a 10% operatorom.

Infrastruktura techniczna i metodologia ataków

Grupa oferuje pięć wariantów ransomware, których celem są systemy Windows, Linux, ESXi, Windows XP i nowsze, a także środowiska wykorzystujące Logical Volume Manager (LVM). Początkowe operacje dostępu zazwyczaj koncentrują się na infrastrukturze internetowej, takiej jak urządzenia VPN, zapory sieciowe i urządzenia brzegowe.

Cykl życia włamania obejmuje szeroki wachlarz narzędzi i technik ofensywnych:

• Narzędzia Red-team, takie jak NetExec, RelayKing, TaskHound, PrivHound i CertiHound, służą do rozpoznania Active Directory, wykrywania nadużyć certyfikatów, eskalacji uprawnień i wykrywania udziałów sieciowych. Dodatkowe narzędzia, takie jak EDRStartupHinder, gfreeze, glinker i DumpBrowserSecrets, ułatwiają omijanie zabezpieczeń i kradzież danych uwierzytelniających, a Velociraptor wspiera działania typu command-and-control.
• Działania podejmowane po wystąpieniu zagrożenia obejmują zazwyczaj wyczyszczenie dzienników zdarzeń systemu Windows, aplikacji i zabezpieczeń, wyłączenie programu Microsoft Defender i utworzenie wykluczeń w oprogramowaniu antywirusowym w celu ograniczenia możliwości wykrycia.

Ransomware wykorzystuje hybrydowy model szyfrowania, łączący wymianę kluczy X25519 z symetrycznym szyfrowaniem XChaCha20. Badacze śledzący klaster aktywności Storm-2697 ustalili, że złośliwe oprogramowanie zostało napisane w języku Go i zaciemnione za pomocą Garble.

Szczególnie niebezpieczna funkcja jest włączana za pomocą parametru „--spread”, który przekształca ransomware z szyfratora pojedynczego hosta w samonapędzającego się robaka zdolnego do rozprzestrzeniania się w dostępnych systemach sieciowych. Po uruchomieniu z argumentem „--wipe”, złośliwe oprogramowanie wykonuje dodatkowe działania mające na celu eliminację odzyskiwalnych artefaktów po szyfrowaniu.

Taktyki wymuszeń i sprawność operacyjna

Dowody wskazują, że The Gentlemen stosują wielokanałową strategię wymuszeń, wykraczającą poza wdrażanie ransomware. Ofiary mogą również paść ofiarą bezpośredniej komunikacji mailowej i telefonicznych kampanii nacisku, mających na celu zwiększenie prawdopodobieństwa otrzymania zapłaty.

Cykl rozwojowy grupy charakteryzuje się niezwykle wysokim poziomem responsywności. Godnym uwagi przykładem było wydarzenie z kwietnia 2026 roku, kiedy operatorzy udostępnili łatkę tego samego dnia, w którym deszyfrator stał się publicznie dostępny.

Włamania zazwyczaj pozostają niewykryte przez okres od dwóch do sześciu tygodni przed wykonaniem szyfrowania. Organizacje korzystające z infrastruktury VMware wydają się być szczególnie narażone na ataki.

Wewnętrzne przecieki ujawniają strukturę organizacyjną

Istotny przełom w doniesieniach wywiadowczych nastąpił w maju 2026 roku po ujawnieniu wewnętrznej bazy danych Rocket.Chat używanej przez grupę. Wyciek obejmował 3366 wiadomości wymienionych między listopadem 2025 a końcem kwietnia 2026 roku, dostarczając cennych informacji o wewnętrznej strukturze i przepływach pracy operacji.

Komunikacja ujawniła jasny podział obowiązków między członkami i udokumentowała wykorzystanie luk w zabezpieczeniach technologii VMware Aria Operations, Fortinet, Cisco i Microsoft. Dokumentacja wskazywała na dobrze zorganizowaną grupę przestępczą, pełniącą wyspecjalizowane role w różnych fazach operacji ataku.

Wyciekłe informacje ujawniły również aktywne monitorowanie i ocenę pojawiających się luk w zabezpieczeniach, w tym CVE-2024-55591, CVE-2025-32433 i CVE-2025-33073. Te exploity połączono z dodatkowymi ścieżkami ataku, obejmującymi nadużycia w systemie kopii zapasowych, kompromitację kontrolerów zarządzających oraz techniki przekazywania NTLM, tworząc niezwykle elastyczną strukturę eksploatacji luk.

Ujawnienie kompletnego zestawu narzędzi operatora

W marcu 2026 roku badacze cyberbezpieczeństwa zidentyfikowali ujawniony katalog hostowany w usłudze hostingu Bulletproof Proton66. Katalog zawierał 126 plików przypisanych do partnera The Gentlemen RaaS i skutecznie ujawnił kompletny zestaw narzędzi operatora ransomware.

Wyciekły zestaw narzędzi obejmował niemal każdy etap cyklu ataku:

• Rozpoznanie i profilowanie ofiar
• Eskalacja uprawnień

• Uchylanie się od obrony

• Kradzież danych uwierzytelniających

• Ruch boczny

• Mechanizmy trwałości

• Działania przygotowawcze przed szyfrowaniem

Szeroki zakres zestawu narzędzi podkreślił dojrzałość operacyjną ekosystemu i zapewnił wyjątkowy wgląd w zasoby dostępne dla partnerów.

Zagrożenie stojące za marką

LARVA-368 jest zaangażowana w cyberprzestępczą działalność ukierunkowaną na wymuszenia co najmniej od 2020 roku. Doświadczenie zdobyte dzięki współpracy z wieloma organizacjami ransomware najwyraźniej zapewniło jej specjalistyczną wiedzę, wiedzę operacyjną i sieć przestępczą niezbędne do zbudowania i rozwinięcia The Gentlemen jako znaczącego, niezależnego przedsiębiorstwa RaaS.

Połączenie zaawansowanej technologii, zorientowanych na partnerów praktyk biznesowych, szybkich cyklów rozwoju i agresywnych taktyk wymuszeń sprawiło, że The Gentlemen stało się jednym z najpoważniejszych zagrożeń typu ransomware, z jakimi obecnie mierzą się organizacje na całym świecie.