Ransomvér The Gentlemen

Do roku Mezo v roku Ransomware, Pokročilá perzistentná hrozba (APT)

Preložiť do:

Vyšetrovanie operácie The Gentlemen odhalilo, že finančne motivovaná skupina hrozby pôvodne fungovala ako pridružená spoločnosť vykonávajúca dvojité vydieranie, pričom využívala infraštruktúru a zdroje poskytované viacerými ekosystémami Ransomware-as-a-Service (RaaS) vrátane LockBit, Qilin a Medusa.

Operáciu sleduje niekoľko výskumníkov pod menom Phantom Mantis a vedie ju rusky hovoriaci kyberzločinec identifikovaný ako LARVA-368. Táto osoba bola spájaná s viacerými online prezývkami vrátane hastalamuerte, ArmCorp, zeta88, nobody0 a santamuerte. Skupina, ktorá je aktívna od marca 2025, sa verejne prihlásila k zodpovednosti za 478 obetí.

Obsah

Vznik skupiny Threat

K zásadnej transformácii došlo v júli 2025, keď sa Phantom Mantis vyvinul do The Gentlemen, nezávislého partnerského programu, ktorý už nie je závislý od externých prevádzkovateľov RaaS. Prechod sprevádzalo rozsiahle využívanie umelej inteligencie na podporu vývoja ransomvéru, údržby nástrojov a aktivít po zneužití.

Hodnotenia bezpečnostných informácií naznačujú, že LARVA-368 predtým pôsobila v rámci skupiny ransomvéru Embargo, než spustila samostatnú operáciu pod značkou ArmCorp. O štyri mesiace neskôr bola operácia premenovaná na The Gentlemen.

Načasovanie tohto prechodu úzko súviselo s verejným sporom medzi LARVA-368 a ransomvérovou operáciou Qilin. Páchateľ hrozby obvinil spoločnosť Qilin z vykonania podvodu s cieľom ukončiť obchod a zadržania približne 48 000 dolárov zo zisku.

Aby posilnila svoju pozíciu na trhu v rámci podzemných komunít, investovala spoločnosť Phantom Mantis do prémiových členstiev na fórach kyberkriminálnikov. Komunikačné funkcie a funkcie technickej podpory sú z veľkej časti riadené samostatnou rusky hovoriacou osobou známou ako The Gentlemen Data.

Zrelý a rýchlo rastúci ekosystém ransomvéru

Bezpečnostní výskumníci charakterizujú The Gentlemen ako vysoko adaptívnu a rýchlo sa vyvíjajúcu ransomvérovú operáciu, ktorá kombinuje tradičné techniky ransomvéru s modernými možnosťami RaaS. Jej operačný model zahŕňa dvojité vydieranie, multiplatformové varianty ransomvéru, flexibilné mechanizmy šírenia a rozsiahlu podporu partnerských spoločností.

Táto skupina sa rýchlo stala jedným z najaktívnejších aktérov ransomvéru v oblasti hrozieb a počas apríla 2026 predstavovala približne 10 % všetkých pozorovaných aktivít ransomvéru. Útočné kampane zvyčajne sledujú reťazec narušení zameraný na podniky, ktorý začína zraniteľnými internetovými službami alebo kompromitovanými prihlasovacími údajmi.

Analýza ďalej naznačuje, že operátori môžu dynamicky upravovať taktiky počas narušení. Medzi aktivity patrila manipulácia s objektmi skupinovej politiky (GPO), ohrozenie privilegovaných účtov a nasadenie prispôsobených techník navrhnutých na obchádzanie bezpečnostných kontrol koncových bodov.

Rozloženie obetí naznačuje prevažne medzinárodné zameranie. Len približne 13 % známych obetí sa nachádza v Spojených štátoch, zatiaľ čo najvyššie koncentrácie obetí boli zaznamenané v Thajsku, Spojenom kráľovstve, Brazílii, Nemecku a Indii.

Podpora partnerských spoločností a operácie s kriminálnym obchodom

Spoločnosť The Gentlemen udržiava štruktúrovaný partnerský ekosystém priamo podporovaný spoločnosťou LARVA-368. Vyhradené účty na platforme The Gentlemen IM poskytujú pomoc s procesmi šifrovania a výzvami súvisiacimi s narušením bezpečnosti vrátane prístupu k nástrojom na obídenie EDR, ktoré využívajú techniky Bring Your Own Vulnerable Driver (BYOVD).

Podporné služby pre The Gentlemen aj The Gentlemen Data sú dostupné prostredníctvom platforiem na zasielanie správ Tox, SimpleX Chat a Ricochet Refresh. Potenciálni partneri musia pred získaním prístupu k partnerskému portálu odoslať aspoň 1 GB ukradnutých údajov o obetiach. Zdá sa, že táto požiadavka má zabrániť výskumníkom a orgánom činným v trestnom konaní v infiltrácii platformy tým, že sa budú vydávať za partnerov.

Portál pre správu partnerských programov umožňuje správu používateľov, konfiguráciu cieľov a správu nasadenia ransomvéru. Na prilákanie účastníkov prevádzka propaguje agresívnu štruktúru zdieľania príjmov, ktorá prideľuje 90 % zisku partnerom a 10 % prevádzkovateľom.

Technická infraštruktúra a metodika útoku

Skupina poskytuje päť variantov ransomvéru určených na zacielenie na systémy Windows, Linux, ESXi, Windows XP a novšie, ako aj na prostredia využívajúce Logical Volume Manager (LVM). Počiatočné prístupové operácie sa zvyčajne zameriavajú na infraštruktúru s prístupom na internet, ako sú zariadenia VPN, firewally a edge zariadenia.

Životný cyklus narušenia zahŕňa široký arzenál útočných nástrojov a techník:

Nástroje „červeného tímu“ ako NetExec, RelayKing, TaskHound, PrivHound a CertiHound sa používajú na prieskum služby Active Directory, zneužívanie certifikátov, eskaláciu privilégií a vyhľadávanie sieťových zdieľaní. Ďalšie nástroje vrátane EDRStartupHinder, gfreeze, glinker a DumpBrowserSecrets uľahčujú obchádzanie obrany a krádež poverení, zatiaľ čo Velociraptor podporuje činnosti velenia a riadenia.
Medzi akcie po narušení bezpečnosti často patrí vymazanie denníkov systémových, aplikačných a bezpečnostných udalostí systému Windows, vypnutie programu Microsoft Defender a vytvorenie antivírusových vylúčení na zníženie príležitostí na detekciu.

Ransomvér využíva hybridný šifrovací model kombinujúci výmenu kľúčov X25519 so symetrickým šifrovaním XChaCha20. Výskumníci sledovajúci klaster aktivít počas Storm-2697 zistili, že malvér je napísaný v jazyku Go a zahalený pomocou Garble.

Obzvlášť nebezpečná funkcia je aktivovaná parametrom „--spread“, ktorý premieňa ransomvér z šifrovacieho nástroja na jedného hostiteľa na samošíriaceho sa červa schopného šírenia v dostupných sieťových systémoch. Pri spustení s argumentom „--wipe“ malvér vykoná ďalšie akcie určené na odstránenie obnoviteľných artefaktov po zašifrovaní.

Taktiky vydierania a operačná agilita

Dôkazy naznačujú, že skupina The Gentlemen používa viackanálovú vydieraciu stratégiu, ktorá presahuje rámec nasadzovania ransomvéru. Obete môžu čeliť aj priamej e-mailovej komunikácii a telefonickým nátlakovým kampaniam, ktorých cieľom je zvýšiť pravdepodobnosť platby.

Vývojový cyklus skupiny vykazuje nezvyčajne vysokú úroveň odozvy. Jeden pozoruhodný príklad sa stal v apríli 2026, keď operátori vydali záplatu v ten istý deň, keď sa dešifrovací program stal verejne dostupným.

Prieniky zvyčajne zostávajú nezistené dva až šesť týždňov predtým, ako sa vykoná šifrovanie. Zdá sa, že organizácie prevádzkujúce infraštruktúru VMware sú obzvlášť zamerané na cielené úsilie.

Interné úniky odhaľujú organizačnú štruktúru

K významnému spravodajskému prielomu došlo v máji 2026 po odhalení internej databázy Rocket.Chat, ktorú skupina používala. Únik obsahoval 3 366 správ vymenených medzi novembrom 2025 a koncom apríla 2026, ktoré poskytli cenný prehľad o vnútornej štruktúre a pracovných postupoch operácie.

Komunikácia odhalila jasné rozdelenie zodpovedností medzi členmi a zdokumentovala využívanie zraniteľností ovplyvňujúcich technológie spoločností VMware Aria Operations, Fortinet, Cisco a Microsoft. Záznamy vykresľovali dobre organizovaný zločinecký podnik so špecializovanými úlohami podporujúcimi rôzne fázy útočných operácií.

Uniknuté informácie tiež ukázali aktívne monitorovanie a vyhodnocovanie nových zraniteľností vrátane CVE-2024-55591, CVE-2025-32433 a CVE-2025-33073. Tieto zraniteľnosti boli kombinované s ďalšími útočnými cestami zahŕňajúcimi zneužitie zálohovacieho systému, kompromitáciu riadenia a ovládača a techniky NTLM relay, čím sa vytvoril vysoko flexibilný rámec pre zneužívanie.

Zoznámenie sa s kompletnou sadou nástrojov pre operátorov

V marci 2026 identifikovali výskumníci v oblasti kybernetickej bezpečnosti exponovaný adresár hostovaný na neprekonateľnej hostingovej službe Proton66. Adresár obsahoval 126 súborov pripisovaných partnerovi spoločnosti The Gentlemen RaaS a efektívne odhalil kompletnú sadu nástrojov operátora ransomvéru.

Uniknutá sada nástrojov pokrývala takmer každú fázu životného cyklu útoku:

Prieskum a profilovanie obetí
Eskalácia privilégií

Vyhýbanie sa obrane

Krádež poverení

Bočný pohyb

Mechanizmy perzistencie

Činnosti prípravy pred šifrovaním

Šírka súboru nástrojov zdôraznila operačnú vyspelosť ekosystému a poskytla vzácny pohľad na zdroje dostupné pre pridružené spoločnosti.

Hrozba skrytá za značkou

LARVA-368 sa zaoberá kyberkriminálnou činnosťou zameranou na vydieranie minimálne od roku 2020. Skúsenosti získané spoluprácou s viacerými operáciami s ransomvérom zrejme poskytli technické znalosti, operačné znalosti a zločineckú sieť potrebnú na založenie a rozšírenie spoločnosti The Gentlemen do významného nezávislého podniku RaaS.

Kombinácia technickej sofistikovanosti, obchodných praktík zameraných na partnerské programy, rýchlych vývojových cyklov a agresívnych vydieračských taktík zaradila spoločnosť The Gentlemen medzi najvýznamnejšie hrozby ransomvéru, ktorým v súčasnosti čelia organizácie na celom svete.

Procesor platieb spoločnosti EnigmaSoft Digital River GmbH Vyhlásenie bankrotu nemá vplyv na ochranu zákazníkov SpyHunter proti škodlivému softvéru

Vyhľadávanie

Zmeniť región

Ransomvér The Gentlemen

Vznik skupiny Threat

Zrelý a rýchlo rastúci ekosystém ransomvéru

Podpora partnerských spoločností a operácie s kriminálnym obchodom

Technická infraštruktúra a metodika útoku

Taktiky vydierania a operačná agilita

Interné úniky odhaľujú organizačnú štruktúru

Zoznámenie sa s kompletnou sadou nástrojov pre operátorov

Hrozba skrytá za značkou

Odoslať komentár

Trendy

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Najviac videné

Eporner.com

Fuq.com

XHAMSTER Ransomware