Программа-вымогатель "Джентльмены"
Расследование деятельности группы The Gentlemen показало, что эта группа злоумышленников, преследующая финансовые цели, первоначально функционировала как филиал, осуществляющий атаки с двойным вымогательством, используя инфраструктуру и ресурсы, предоставляемые различными экосистемами Ransomware-as-a-Service (RaaS), включая LockBit, Qilin и Medusa.
Операция отслеживается несколькими исследователями под псевдонимом Phantom Mantis и возглавляется русскоязычным киберпреступником, известным как LARVA-368. Этот человек связан с несколькими онлайн-псевдонимами, включая hastalamuerte, ArmCorp, zeta88, nobody0 и santamuerte. Активная с марта 2025 года, группа публично взяла на себя ответственность за 478 жертв.
Оглавление
Появление группы, представляющей угрозу
В июле 2025 года произошла масштабная трансформация: Phantom Mantis превратился в The Gentlemen, независимую партнерскую программу, больше не зависящую от внешних операторов RaaS. Этот переход сопровождался широким использованием искусственного интеллекта для поддержки разработки программ-вымогателей, обслуживания инструментов и действий после взлома.
Анализ угроз показывает, что LARVA-368 ранее действовала в составе группы, занимавшейся вымогательством программ-вымогателей Embargo, прежде чем запустить отдельную операцию под брендом ArmCorp. Четыре месяца спустя операция была переименована в The Gentlemen.
Время этого перехода совпало с публичным спором между LARVA-368 и операцией по распространению программы-вымогателя Qilin. Злоумышленники обвинили Qilin в мошенничестве с целью вывода средств и удержании примерно 48 000 долларов дохода.
Для укрепления своих позиций в подпольных сообществах Phantom Mantis инвестировала в премиальное членство на форумах киберпреступников. Коммуникации и техническая поддержка в основном осуществляются отдельным русскоязычным сотрудником, известным как The Gentlemen Data.
Зрелая и быстрорастущая экосистема программ-вымогателей
Исследователи в области безопасности характеризуют The Gentlemen как высокоадаптивную и быстро развивающуюся операцию по распространению программ-вымогателей, которая сочетает традиционные методы вымогательства с современными возможностями RaaS (RaaS — это услуга как сервис). Ее операционная модель включает в себя двойное вымогательство, кроссплатформенные варианты программ-вымогателей, гибкие механизмы распространения и обширную поддержку со стороны партнеров.
Эта группа быстро стала одним из наиболее активных участников рынка программ-вымогателей, на ее долю приходится примерно 10% всей зафиксированной активности программ-вымогателей в апреле 2026 года. Атаки обычно следуют цепочке вторжений, ориентированной на корпоративные сети, которая начинается с уязвимых интернет-сервисов или скомпрометированных учетных данных.
Анализ также показывает, что операторы могут динамически изменять тактику во время вторжений. К таким действиям относятся манипулирование объектами групповой политики (GPO), компрометация привилегированных учетных записей и применение специально разработанных методов для обхода средств защиты конечных точек.
Распределение жертв указывает на преимущественно международную направленность проблемы. Лишь около 13% известных жертв находятся в Соединенных Штатах, в то время как наибольшая концентрация жертв наблюдается в Таиланде, Великобритании, Бразилии, Германии и Индии.
Партнерская поддержка и преступная деятельность.
Компания The Gentlemen поддерживает структурированную партнерскую экосистему, напрямую поддерживаемую LARVA-368. Выделенные аккаунты на платформе The Gentlemen IM предоставляют помощь в процессах шифрования и решении проблем, связанных с вторжениями, включая доступ к инструментам обхода EDR, использующим методы Bring Your Own Vulnerable Driver (BYOVD).
Службы поддержки для The Gentlemen и The Gentlemen Data доступны через мессенджеры Tox, SimpleX Chat и Ricochet Refresh. Потенциальные партнеры должны предоставить не менее 1 ГБ украденных данных жертв, прежде чем получить доступ к партнерскому порталу. Это требование, по-видимому, призвано предотвратить проникновение исследователей и правоохранительных органов на платформу под видом партнеров.
Портал управления партнерской программой позволяет администрировать пользователей, настраивать целевые объекты и управлять развертыванием программ-вымогателей. Для привлечения участников операция продвигает агрессивную структуру распределения прибыли, в рамках которой 90% прибыли распределяется между партнерами, а 10% — между операторами.
Техническая инфраструктура и методология атаки
Группа предлагает пять вариантов программ-вымогателей, предназначенных для атак на системы Windows, Linux, ESXi, Windows XP и более поздние версии, а также на среды, использующие Logical Volume Manager (LVM). Первоначальные операции доступа обычно сосредоточены на инфраструктуре, доступной из интернета, такой как VPN-устройства, межсетевые экраны и периферийные устройства.
Жизненный цикл вторжения включает в себя широкий арсенал наступательных инструментов и методов:
- Для разведки Active Directory, выявления уязвимостей в сертификатах, повышения привилегий и обнаружения сетевых ресурсов используются утилиты Red-team, такие как NetExec, RelayKing, TaskHound, PrivHound и CertiHound. Дополнительные инструменты, включая EDRStartupHinder, gfreeze, glinker и DumpBrowserSecrets, способствуют обходу средств защиты и краже учетных данных, а Velociraptor поддерживает операции управления и контроля.
- Действия после взлома часто включают очистку системных журналов событий Windows, журналов событий приложений и безопасности, отключение Microsoft Defender и создание исключений для антивируса, чтобы уменьшить возможности обнаружения.
Программа-вымогатель использует гибридную модель шифрования, сочетающую обмен ключами X25519 с симметричным шифрованием XChaCha20. Исследователи, отслеживающие кластер активности под названием Storm-2697, определили, что вредоносная программа написана на языке Go и обфусцирована с помощью Garble.
Особенно опасная функция активируется с помощью параметра '--spread', который превращает программу-вымогатель из однохостового шифровальщика в самораспространяющийся червь, способный распространяться по доступным сетевым системам. При запуске с аргументом '--wipe' вредоносная программа выполняет дополнительные действия, предназначенные для удаления восстанавливаемых артефактов после шифрования.
Тактика вымогательства и оперативная гибкость
Имеющиеся данные свидетельствуют о том, что The Gentlemen использует многоканальную стратегию вымогательства, выходящую за рамки простого распространения программ-вымогателей. Жертвы также могут сталкиваться с прямыми электронными письмами и телефонными кампаниями давления, направленными на повышение вероятности получения выкупа.
Цикл разработки группы демонстрирует необычайно высокий уровень оперативности. Один из примечательных примеров произошел в апреле 2026 года, когда операторы выпустили патч в тот же день, когда дешифратор стал общедоступным.
Как правило, вторжения остаются незамеченными в течение периодов от двух до шести недель, прежде чем будет выполнено шифрование. Особое внимание уделяется организациям, использующим инфраструктуру VMware.
Внутренние утечки раскрывают организационную структуру.
В мае 2026 года произошёл значительный прорыв в разведывательной деятельности после утечки внутренней базы данных Rocket.Chat, использовавшейся группировкой. Утечка содержала 3366 сообщений, которыми обменивались участники операции в период с ноября 2025 года по конец апреля 2026 года, что предоставило ценную информацию о внутренней структуре и рабочих процессах операции.
Переписка выявила четкое разделение обязанностей между членами группы и задокументировала использование уязвимостей, затрагивающих технологии VMware Aria Operations, Fortinet, Cisco и Microsoft. Документы свидетельствуют о хорошо организованной преступной группировке со специализированными подразделениями, поддерживающими различные этапы операций по атаке.
Утекшая информация также показала активный мониторинг и оценку возникающих уязвимостей, включая CVE-2024-55591, CVE-2025-32433 и CVE-2025-33073. Эти эксплойты были объединены с дополнительными путями атаки, включающими злоупотребление системой резервного копирования, компрометацию контроллера управления и методы ретрансляции NTLM, что создало очень гибкую структуру для эксплуатации уязвимостей.
Представлен полный набор инструментов для оператора.
В марте 2026 года исследователи кибербезопасности обнаружили уязвимую директорию, размещенную на защищенном хостинге Proton66. В директории находилось 126 файлов, предположительно принадлежащих филиалу The Gentlemen RaaS, и фактически раскрывался полный набор инструментов оператора программы-вымогателя.
Утекший в сеть набор инструментов охватывал практически все этапы жизненного цикла атаки:
- Разведка и составление профиля жертвы
- Повышение привилегий
- уклонение от обороны
- кража учетных данных
- Боковое движение
- Механизмы сохранения
- Мероприятия по подготовке к шифрованию
Широкий спектр предоставленных инструментов подчеркнул операционную зрелость экосистемы и позволил получить редкую возможность заглянуть в ресурсы, доступные аффилированным компаниям.
Угроза, стоящая за брендом
LARVA-368 занимается киберпреступностью, ориентированной на вымогательство, по меньшей мере с 2020 года. Опыт, накопленный в ходе сотрудничества с многочисленными организациями, занимающимися программами-вымогателями, по всей видимости, обеспечил им техническую экспертизу, оперативные знания и криминальную сеть, необходимые для создания и масштабирования The Gentlemen в крупное независимое предприятие, предоставляющее услуги вымогательства как услуги (RaaS).
Сочетание технической изощренности, ориентированной на партнерские программы бизнес-практики, быстрых циклов разработки и агрессивной тактики вымогательства позволило The Gentlemen занять одно из ведущих мест среди организаций по всему миру, представляющих угрозу распространения программ-вымогателей.
