Popust za več licenc
Podjetje o grožnjah Ransomware Izsiljevalska programska oprema The Gentlemen

Izsiljevalska programska oprema The Gentlemen

Do leta Mezo leta Ransomware, Napredna trajna grožnja (APT)
Prevedi v:

Preiskave operacije The Gentlemen razkrivajo, da je finančno motivirana skupina za grožnje prvotno delovala kot podružnica, ki je izvajala dvojne izsiljevalske napade, pri čemer je izkoriščala infrastrukturo in vire, ki jih zagotavlja več ekosistemov izsiljevalske programske opreme kot storitve (RaaS), vključno z LockBit, Qilin in Medusa.

Operacijo spremlja več raziskovalcev pod imenom Phantom Mantis, vodi pa jo rusko govoreči kibernetski kriminalec, identificiran kot LARVA-368. Ta oseba je bila povezana z več spletnimi vzdevki, vključno s hastalamuerte, ArmCorp, zeta88, nobody0 in santamuerte. Skupina, ki je aktivna od marca 2025, je javno prevzela odgovornost za 478 žrtev.

Pojav skupine Grožnje

Do večje preobrazbe je prišlo julija 2025, ko se je Phantom Mantis razvil v The Gentlemen, neodvisen partnerski program, ki ni več odvisen od zunanjih operaterjev RaaS. Prehod je spremljala obsežna uporaba umetne inteligence za podporo razvoju izsiljevalske programske opreme, vzdrževanju orodij in dejavnostim po izkoriščanju.

Ocene obveščevalnih podatkov o grožnjah kažejo, da je LARVA-368 prej delovala v okviru skupine za izsiljevalsko programsko opremo Embargo, preden je začela ločeno operacijo pod blagovno znamko ArmCorp. Štiri mesece pozneje je bila operacija preimenovana v The Gentlemen.

Časovna usklajenost tega prehoda je bila tesno povezana z javnim sporom med LARVA-368 in operacijo izsiljevalske programske opreme Qilin. Grožnjec je Qilin obtožil, da je izvedel prevaro z izstopom in zadržal približno 48.000 dolarjev zaslužka.

Da bi okrepil prisotnost na trgu znotraj podzemnih skupnosti, je Phantom Mantis investiral v premium članstva na forumih kibernetske kriminalitete. Komunikacijske in tehnične podporne funkcije večinoma upravlja ločena rusko govoreča oseba, znana kot The Gentlemen Data.

Zrel in hitro rastoči ekosistem izsiljevalske programske opreme

Varnostni raziskovalci opisujejo The Gentlemen kot zelo prilagodljivo in hitro razvijajočo se operacijo izsiljevalske programske opreme, ki združuje tradicionalne tehnike izsiljevalske programske opreme s sodobnimi zmogljivostmi RaaS. Njen operativni model vključuje dvojno izsiljevanje, različice izsiljevalske programske opreme za več platform, prilagodljive mehanizme širjenja in obsežno podporo partnerjev.

Skupina se je hitro uveljavila kot eden najaktivnejših akterjev izsiljevalske programske opreme na področju groženj, saj je aprila 2026 predstavljala približno 10 % vseh opaženih dejavnosti izsiljevalske programske opreme. Napadalne kampanje običajno sledijo verigi vdorov, osredotočeni na podjetja, ki se začne prek ranljivih internetnih storitev ali ogroženih poverilnic.

Analiza nadalje kaže, da lahko operaterji dinamično spreminjajo taktike med vdori. Dejavnosti so vključevale manipuliranje objektov skupinskih pravilnikov (GPO), ogrožanje privilegiranih računov in uporabo prilagojenih tehnik, zasnovanih za izogibanje varnostnim kontrolam končnih točk.

Porazdelitev žrtev kaže na pretežno mednarodno osredotočenost. Le približno 13 % znanih žrtev se nahaja v Združenih državah Amerike, največje koncentracije žrtev pa so bile opažene na Tajskem, v Združenem kraljestvu, Braziliji, Nemčiji in Indiji.

Podpora pridruženim podjetjem in kriminalne poslovne operacije

The Gentlemen vzdržuje strukturiran partnerski ekosistem, ki ga neposredno podpira LARVA-368. Namenski računi na platformi The Gentlemen IM nudijo pomoč pri procesih šifriranja in izzivih, povezanih z vdori, vključno z dostopom do orodij za obhod EDR, ki uporabljajo tehnike Bring Your Own Vulnerable Driver (BYOVD).

Podporne storitve za The Gentlemen in The Gentlemen Data so na voljo prek platform za sporočanje Tox, SimpleX Chat in Ricochet Refresh. Potencialni partnerji morajo pred dostopom do partnerskega portala predložiti vsaj 1 GB ukradenih podatkov o žrtvah. Zdi se, da je ta zahteva namenjena preprečevanju raziskovalcem in organom pregona, da bi se infiltrirali v platformo tako, da bi se izdajali za partnerje.

Portal za upravljanje partnerskih programov omogoča upravljanje uporabnikov, konfiguracijo ciljev in upravljanje uvajanja izsiljevalske programske opreme. Za privabljanje udeležencev operacija spodbuja agresivno strukturo delitve prihodkov, ki 90 % dobička dodeli partnerskim podjetjem in 10 % operaterjem.

Tehnična infrastruktura in metodologija napadov

Skupina ponuja pet različic izsiljevalske programske opreme, zasnovanih za napade na sisteme Windows, Linux, ESXi, Windows XP in novejše sisteme ter okolja, ki uporabljajo upravitelja logičnih nosilcev podatkov (LVM). Začetne operacije dostopa se običajno osredotočajo na internetno infrastrukturo, kot so naprave VPN, požarni zidovi in robne naprave.

Življenjski cikel vdora vključuje širok arzenal ofenzivnih orodij in tehnik:

  • Pripomočki rdeče ekipe, kot so NetExec, RelayKing, TaskHound, PrivHound in CertiHound, se uporabljajo za izvidovanje Active Directory, zlorabo potrdil, stopnjevanje privilegijev in odkrivanje omrežnih skupnih rab. Dodatna orodja, vključno z EDRStartupHinder, gfreeze, glinker in DumpBrowserSecrets, olajšajo izogibanje obrambi in krajo poverilnic, medtem ko Velociraptor podpira dejavnosti poveljevanja in nadzora.
  • Dejanja po ogroženju pogosto vključujejo brisanje dnevnikov sistemskih, aplikacijskih in varnostnih dogodkov sistema Windows, onemogočanje programa Microsoft Defender in ustvarjanje izključitev protivirusnega programa za zmanjšanje možnosti zaznavanja.

Izsiljevalska programska oprema uporablja hibridni model šifriranja, ki združuje izmenjavo ključev X25519 s simetričnim šifriranjem XChaCha20. Raziskovalci, ki so spremljali gručo aktivnosti med Storm-2697, so ugotovili, da je zlonamerna programska oprema napisana v jeziku Go in zakrita z uporabo Garble.

Posebej nevarna zmožnost je omogočena s parametrom »--spread«, ki izsiljevalsko programsko opremo iz šifrirnika na enem gostitelju pretvori v samorazmnoževalnega črva, ki se lahko širi po dosegljivih omrežnih sistemih. Ko se izvede z argumentom »--wipe«, zlonamerna programska oprema izvede dodatna dejanja, namenjena odstranitvi obnovljivih artefaktov po šifriranju.

Taktike izsiljevanja in operativna agilnost

Dokazi kažejo, da skupina The Gentlemen uporablja večkanalno strategijo izsiljevanja, ki presega uporabo izsiljevalske programske opreme. Žrtve se lahko soočijo tudi z neposredno komunikacijo po e-pošti in telefonskimi pritiski, katerih namen je povečati verjetnost plačila.

Razvojni cikel skupine kaže nenavadno visoko stopnjo odzivnosti. Pomemben primer se je zgodil aprila 2026, ko so operaterji izdali popravek na isti dan, ko je dešifrator postal javno dostopen.

Vdori običajno ostanejo neodkriti od dva do šest tednov, preden se izvede šifriranje. Zdi se, da so organizacije, ki upravljajo infrastrukturo VMware, še posebej v središču prizadevanj za ciljanje.

Notranja puščanja razkrivajo organizacijsko strukturo

Pomemben obveščevalni preboj se je zgodil maja 2026 po razkritju interne baze podatkov Rocket.Chat, ki jo je uporabljala skupina. Puščanje informacij je vsebovalo 3366 sporočil, izmenjanih med novembrom 2025 in koncem aprila 2026, kar je zagotovilo dragocen vpogled v notranjo strukturo in poteke dela operacije.

Komunikacija je razkrila jasno delitev odgovornosti med člani in dokumentirala uporabo ranljivosti, ki so vplivale na tehnologije VMware Aria Operations, Fortinet, Cisco in Microsoft. Zapisi so prikazovali dobro organizirano kriminalno združbo s specializiranimi vlogami, ki so podpirale različne faze napadalnih operacij.

Razkrite informacije so prav tako pokazale aktivno spremljanje in ocenjevanje novih ranljivosti, vključno s CVE-2024-55591, CVE-2025-32433 in CVE-2025-33073. Te ranljivosti so bile kombinirane z dodatnimi potmi napadov, ki so vključevale zlorabo varnostnih kopij sistema, ogrožanje upravljanja in tehnike releja NTLM, kar je ustvarilo zelo prilagodljiv okvir za izkoriščanje.

Izpostavitev celotnega kompleta orodij za operaterje

Marca 2026 so raziskovalci kibernetske varnosti odkrili izpostavljen imenik, ki je gostoval na neprebojni storitvi gostovanja Proton66. Imenik je vseboval 126 datotek, pripisanih podružnici The Gentlemen RaaS, in je dejansko razkril celoten nabor orodij za operaterje izsiljevalske programske opreme.

Razkrita orodja so zajemala skoraj vse faze življenjskega cikla napada:

  • Izvidovanje in profiliranje žrtev
  • Eskalacija privilegijev
  • Izogibanje obrambi
  • Kraja poverilnic
  • Bočno gibanje
  • Mehanizmi vztrajnosti
  • Dejavnosti priprave pred šifriranjem

Obseg nabora orodij je poudaril operativno zrelost ekosistema in ponudil redek vpogled v vire, ki so na voljo pridruženim podjetjem.

Grožnja za blagovno znamko

LARVA-368 se vsaj od leta 2020 ukvarja s kibernetsko kriminaliteto, osredotočeno na izsiljevanje. Izkušnje, pridobljene s sodelovanjem z več operacijami izsiljevalske programske opreme, so očitno zagotovile tehnično strokovno znanje, operativno znanje in kriminalno mrežo, potrebne za vzpostavitev in razširitev podjetja The Gentlemen v pomembno neodvisno podjetje RaaS.

Kombinacija tehnične dovršenosti, poslovnih praks, osredotočenih na partnerske programe, hitrih razvojnih ciklov in agresivnih izsiljevalskih taktik je organizacijo The Gentlemen uvrstila med najvidnejše grožnje izsiljevalske programske opreme, s katerimi se trenutno soočajo organizacije po vsem svetu.

V trendu

Najbolj gledan

Nalaganje...