Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Ransomware The Gentlemen Ransomware

The Gentlemen Ransomware

Nga MezoRansomware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Hetimet mbi operacionin The Gentlemen zbulojnë se grupi i kërcënimeve të motivuara financiarisht fillimisht funksionoi si një degë duke kryer sulme të dyfishta zhvatjeje, ndërsa shfrytëzonte infrastrukturën dhe burimet e ofruara nga ekosisteme të shumta Ransomware-as-a-Service (RaaS), duke përfshirë LockBit, Qilin dhe Medusa.

Operacioni ndiqet nga disa studiues nën emrin Phantom Mantis dhe drejtohet nga një kriminel kibernetik që flet rusisht, i identifikuar si LARVA-368. Ky individ është shoqëruar me disa pseudonime online, duke përfshirë hastalamuerte, ArmCorp, zeta88, nobody0 dhe santamuerte. Aktiv që nga marsi i vitit 2025, grupi ka marrë publikisht përgjegjësinë për 478 viktima.

Shfaqja e Grupit të Kërcënimit

Një transformim i madh ndodhi në korrik 2025 kur Phantom Mantis evoluoi në The Gentlemen, një program partneriteti i pavarur që nuk mbështetej më në operatorët e jashtëm RaaS. Tranzicioni u shoqërua me përdorim të gjerë të inteligjencës artificiale për të mbështetur zhvillimin e ransomware-it, mirëmbajtjen e mjeteve dhe aktivitetet pas shfrytëzimit.

Vlerësimet e inteligjencës së kërcënimeve tregojnë se LARVA-368 më parë vepronte brenda grupit të ransomware-it Embargo përpara se të niste një operacion të veçantë nën markën ArmCorp. Katër muaj më vonë, operacioni u riemërua si The Gentlemen.

Koha e këtij tranzicioni ishte e lidhur ngushtë me një mosmarrëveshje publike midis LARVA-368 dhe operacionit të ransomware Qilin. Aktori kërcënues akuzoi Qilin për kryerjen e një mashtrimi daljeje dhe mbajtjen e afërsisht 48,000 dollarëve në fitime.

Për të forcuar praninë në treg brenda komuniteteve nëntokësore, Phantom Mantis ka investuar në anëtarësime premium në forumet e kriminelëve kibernetikë. Funksionet e komunikimit dhe mbështetjes teknike menaxhohen kryesisht nga një person i veçantë që flet rusisht, i njohur si The Gentlemen Data.

Një ekosistem i Ransomware-it i pjekur dhe në rritje të shpejtë

Studiuesit e sigurisë e karakterizojnë The Gentlemen si një operacion ransomware shumë adaptiv dhe me zhvillim të shpejtë që kombinon teknikat tradicionale të ransomware me aftësitë moderne RaaS. Modeli i tij operativ përfshin zhvatje të dyfishtë, variante ransomware ndërplatformash, mekanizma fleksibël përhapjeje dhe mbështetje të gjerë për bashkëpunëtorët.

Grupi është shfaqur me shpejtësi si një nga aktorët më aktivë të ransomware-it në peizazhin e kërcënimeve, duke përbërë afërsisht 10% të të gjithë aktivitetit të vëzhguar të ransomware-it gjatë prillit 2026. Fushatat e sulmeve zakonisht ndjekin një zinxhir ndërhyrjesh të fokusuar në ndërmarrje që fillon përmes shërbimeve të cenueshme që lidhen me internetin ose kredencialeve të kompromentuara.

Analiza sugjeron më tej se operatorët mund të modifikojnë në mënyrë dinamike taktikat gjatë ndërhyrjeve. Aktivitetet kanë përfshirë manipulimin e Objekteve të Politikës së Grupit (GPO), kompromentimin e llogarive të privilegjuara dhe vendosjen e teknikave të personalizuara të dizajnuara për të shmangur kontrollet e sigurisë së pikave fundore.

Shpërndarja e viktimave tregon një fokus kryesisht ndërkombëtar. Vetëm rreth 13% e viktimave të njohura ndodhen në Shtetet e Bashkuara, ndërsa përqendrimet më të larta të viktimave janë vërejtur në Tajlandë, Mbretërinë e Bashkuar, Brazil, Gjermani dhe Indi.

Mbështetje Filialesh dhe Operacione Biznesi Kriminal

The Gentlemen mirëmban një ekosistem të strukturuar bashkëpunues të mbështetur direkt nga LARVA-368. Llogaritë e dedikuara në platformën The Gentlemen IM ofrojnë ndihmë për proceset e enkriptimit dhe sfidat që lidhen me ndërhyrjet, duke përfshirë qasjen në mjetet e anashkalimit EDR që shfrytëzojnë teknikat Bring Your Own Vulnerable Driver (BYOVD).

Shërbimet mbështetëse për The Gentlemen dhe The Gentlemen Data janë të disponueshme përmes platformave të mesazheve Tox, SimpleX Chat dhe Ricochet Refresh. Filialet e mundshme duhet të paraqesin të paktën 1 GB të dhëna të vjedhura të viktimave përpara se të kenë akses në portalin e filialeve. Kjo kërkesë duket se ka për qëllim të parandalojë që studiuesit dhe agjencitë e zbatimit të ligjit të infiltrojnë platformën duke u paraqitur si filiale.

Portali i menaxhimit të filialeve mundëson administrimin e përdoruesve, konfigurimin e objektivave dhe menaxhimin e vendosjes së ransomware-it. Për të tërhequr pjesëmarrës, operacioni promovon një strukturë agresive të ndarjes së të ardhurave që ndan 90% të fitimeve për filiale dhe 10% për operatorët.

Infrastruktura Teknike dhe Metodologjia e Sulmit

Grupi ofron pesë variante të ransomware-it të dizajnuara për të synuar sistemet Windows, Linux, ESXi, Windows XP dhe më të reja, si dhe mjediset që përdorin Logical Volume Manager (LVM). Operacionet fillestare të aksesit zakonisht përqendrohen në infrastrukturën që lidhet me internetin, siç janë pajisjet VPN, firewall-et dhe pajisjet edge.

Cikli jetësor i ndërhyrjes përfshin një arsenal të gjerë mjetesh dhe teknikash sulmuese:

  • Shërbimet e ekipit Red si NetExec, RelayKing, TaskHound, PrivHound dhe CertiHound përdoren për zbulimin e Active Directory, abuzimin me certifikatat, përshkallëzimin e privilegjeve dhe zbulimin e ndarjeve të rrjetit. Mjete shtesë, duke përfshirë EDRStartupHinder, gfreeze, glinker dhe DumpBrowserSecrets, lehtësojnë shmangien e mbrojtjes dhe vjedhjen e kredencialeve, ndërsa Velociraptor mbështet aktivitetet e komandës dhe kontrollit.
  • Veprimet pas kompromentimit shpesh përfshijnë pastrimin e regjistrave të ngjarjeve të sistemit, aplikacioneve dhe sigurisë së Windows, çaktivizimin e Microsoft Defender dhe krijimin e përjashtimeve nga antivirusi për të zvogëluar mundësitë e zbulimit.

Ransomware-i përdor një model hibrid enkriptimi që kombinon shkëmbimin e çelësave X25519 me enkriptimin simetrik XChaCha20. Studiuesit që gjurmuan grupin e aktivitetit ndërsa Storm-2697 përcaktuan se malware-i është shkruar në Go dhe është errësuar duke përdorur Garble.

Një aftësi veçanërisht e rrezikshme aktivizohet përmes parametrit '--spread', i cili e konverton ransomware-in nga një enkriptues me një strehues të vetëm në një krimb vetëpërhapës të aftë për t'u shpërndarë nëpër sistemet e rrjetit të arritshme. Kur ekzekutohet me argumentin '--wipe', malware kryen veprime shtesë që synojnë të eliminojnë objektet e rikuperueshme pas enkriptimit.

Taktikat e zhvatjes dhe shkathtësia operacionale

Provat sugjerojnë se The Gentlemen operon një strategji shumëkanalëshe zhvatjeje që shtrihet përtej vendosjes së ransomware-it. Viktimat gjithashtu mund të përballen me komunikime të drejtpërdrejta me email dhe fushata presioni me bazë telefonike, të dizajnuara për të rritur mundësinë e pagesës.

Cikli i zhvillimit të grupit tregon një nivel jashtëzakonisht të lartë reagimi. Një shembull i dukshëm ndodhi në prill të vitit 2026 kur operatorët publikuan një patch në të njëjtën ditë që një dekriptues u bë i disponueshëm publikisht.

Ndërhyrjet zakonisht mbeten të pazbuluara për periudha që variojnë nga dy deri në gjashtë javë para se të ekzekutohet enkriptimi. Organizatat që operojnë infrastrukturën VMware duket se janë një fokus i veçantë i përpjekjeve të synuara.

Rrjedhjet e brendshme zbulojnë strukturën organizative

Një zbulim i rëndësishëm i inteligjencës ndodhi në maj 2026 pas ekspozimit të një baze të dhënash të brendshme Rocket.Chat të përdorur nga grupi. Rrjedhja përmbante 3,366 mesazhe të shkëmbyera midis nëntorit 2025 dhe fundit të prillit 2026, duke ofruar informacion të vlefshëm mbi strukturën e brendshme dhe rrjedhat e punës së operacionit.

Komunikimet zbuluan një ndarje të qartë të përgjegjësive midis anëtarëve dhe dokumentuan përdorimin e dobësive që prekin teknologjitë VMware Aria Operations, Fortinet, Cisco dhe Microsoft. Të dhënat portretizonin një ndërmarrje kriminale të organizuar mirë me role të specializuara që mbështesnin faza të ndryshme të operacioneve të sulmit.

Informacioni i rrjedhur tregoi gjithashtu monitorim dhe vlerësim aktiv të dobësive të reja, duke përfshirë CVE-2024-55591, CVE-2025-32433 dhe CVE-2025-33073. Këto shfrytëzime u kombinuan me shtigje shtesë sulmi që përfshinin abuzimin e sistemit rezervë, kompromentimin e kontrolluesit të menaxhimit dhe teknikat e transmetimit NTLM, duke krijuar një kornizë shfrytëzimi shumë fleksibile.

Ekspozimi i një Seti të Plotë Mjetesh për Operatorët

Në mars të vitit 2026, studiuesit e sigurisë kibernetike identifikuan një direktori të ekspozuar të strehuar në shërbimin e hostimit bulletproof Proton66. Drejtoria përmbante 126 skedarë që i atribuoheshin një bashkëpunëtori të The Gentlemen RaaS dhe në fakt ekspozoi një set të plotë mjetesh për operatorët e ransomware-it.

Seti i mjeteve të publikuara mbulonte pothuajse çdo fazë të ciklit jetësor të sulmit:

  • Zbulimi dhe profilizimi i viktimave
  • Përshkallëzimi i privilegjeve
  • Shmangia e mbrojtjes
  • Vjedhja e kredencialeve
  • Lëvizje anësore
  • Mekanizmat e qëndrueshmërisë
  • Aktivitetet e përgatitjes para-enkriptimit

    • Gjerësia e mjeteve nxori në pah pjekurinë operacionale të ekosistemit dhe ofroi një pamje të rrallë të burimeve në dispozicion të bashkëpunëtorëve.

    Kërcënimi që fshihet pas markës

    LARVA-368 është përfshirë në aktivitete kriminale kibernetike të fokusuara në zhvatje që të paktën nga viti 2020. Përvoja e fituar përmes bashkëpunimeve me operacione të shumta ransomware duket se ka siguruar ekspertizën teknike, njohuritë operacionale dhe rrjetin kriminal të nevojshëm për të krijuar dhe shkallëzuar The Gentlemen në një ndërmarrje të rëndësishme të pavarur RaaS.

    Kombinimi i operacionit i sofistikimit teknik, praktikave të biznesit të fokusuara te bashkëpunëtorët, cikleve të shpejta të zhvillimit dhe taktikave agresive të zhvatjes e ka pozicionuar grupin The Gentlemen midis kërcënimeve më të spikatura të ransomware-it me të cilat përballen aktualisht organizatat në mbarë botën.

    Në trend

    Më e shikuara

    Po ngarkohet...