The Gentlemen Ransomware
Истраге операције „Џентлмени“ откривају да је финансијски мотивисана претњачка група првобитно функционисала као филијала која је спроводила двоструке нападе изнуде, користећи инфраструктуру и ресурсе које пружају вишеструки екосистеми Ransomware-as-a-Service (RaaS), укључујући LockBit, Qilin и Medusa.
Операцију прати неколико истраживача под именом Фантом Мантис, а предводи је руски говорник сајбер криминалац идентификован као ЛАРВА-368. Ова особа је повезана са вишеструким онлајн псеудонимима, укључујући hastalamuerte, ArmCorp, zeta88, nobody0 и santamuerte. Група, активна од марта 2025. године, јавно је преузела одговорност за 478 жртава.
Преглед садржаја
Појава групе претњи
Велика трансформација се догодила у јулу 2025. године када се Phantom Mantis развио у The Gentlemen, независни партнерски програм који више није зависан од спољних RaaS оператера. Транзицију је пратила широка употреба вештачке интелигенције за подршку развоју ransomware-а, одржавању алата и активностима након експлоатације.
Процене обавештајних података о претњама указују да је LARVA-368 раније деловала у оквиру групе за рансомвер Embargo пре него што је покренула засебну операцију под брендом ArmCorp. Четири месеца касније, операција је преименована у The Gentlemen.
Време ове транзиције било је уско повезано са јавним спором између LARVA-368 и операције рансомвера Qilin. Претња је оптужила Qilin да је спровео превару са изласком и задржао приближно 48.000 долара зараде.
Да би ојачао присуство на тржишту унутар подземних заједница, Фантом Мантис је инвестирао у премијум чланства на форумима за сајбер криминал. Функцијама комуникације и техничке подршке углавном управља посебна рускоговорећа личност позната као Џентлмен Дејта.
Зрео и брзо растући екосистем ransomware-а
Истраживачи безбедности карактеришу Џентлмене као високо прилагодљиву и брзо еволуирајућу операцију рансомвера која комбинује традиционалне технике рансомвера са модерним RaaS могућностима. Њен оперативни модел укључује двоструку изнуду, варијанте рансомвера на више платформи, флексибилне механизме ширења и широку подршку партнера.
Група се брзо појавила као један од најактивнијих актера ransomware-а у свету претњи, чинећи приближно 10% свих примећених активности ransomware-а током априла 2026. године. Кампање напада обично прате ланац упада усмерен на предузећа који почиње преко рањивих сервиса окренутих интернету или угрожених акредитива.
Анализа даље сугерише да оператери могу динамички да мењају тактике током упада. Активности су укључивале манипулисање објектима групних политика (GPO), угрожавање привилегованих налога и примену прилагођених техника дизајнираних да заобиђу контроле безбедности крајњих тачака.
Дистрибуција жртава указује на претежно међународни фокус. Само око 13% познатих жртава налази се у Сједињеним Државама, док су највеће концентрације жртава примећене у Тајланду, Уједињеном Краљевству, Бразилу, Немачкој и Индији.
Подршка за партнере и криминалне пословне операције
Компанија The Gentlemen одржава структурирани екосистем партнера који директно подржава LARVA-368. Наменски налози на платформи The Gentlemen IM пружају помоћ за процесе шифровања и изазове везане за упад, укључујући приступ алатима за заобилажење EDR-а који користе технике „Донеси свој рањиви драјвер“ (BYOVD).
Услуге подршке за организације The Gentlemen и The Gentlemen Data доступне су путем платформи за размену порука Tox, SimpleX Chat и Ricochet Refresh. Потенцијални партнери морају да доставе најмање 1 GB украдених података о жртвама пре него што добију приступ партнерском порталу. Чини се да је циљ овог захтева да се спречи истраживачи и агенције за спровођење закона да се инфилтрирају на платформу представљајући се као партнери.
Портал за управљање партнерима омогућава администрацију корисника, конфигурацију циљева и управљање распоређивањем ransomware-а. Да би привукла учеснике, операција промовише агресивну структуру поделе прихода која додељује 90% профита партнерима и 10% оператерима.
Техничка инфраструктура и методологија напада
Група нуди пет варијанти ransomware-а дизајнираних да циљају Windows, Linux, ESXi, Windows XP и новије системе, као и окружења која користе Logical Volume Manager (LVM). Почетне операције приступа се обично фокусирају на инфраструктуру окренуту интернету као што су VPN уређаји, заштитни зидови и уређаји на рубу мреже.
Животни циклус упада обухвата широк арсенал офанзивних алата и техника:
- Услужни програми „црвеног тима“ као што су NetExec, RelayKing, TaskHound, PrivHound и CertiHound користе се за извиђање Active Directory-ја, злоупотребу сертификата, ескалацију привилегија и откривање дељених мрежних ресурса. Додатни алати, укључујући EDRStartupHinder, gfreeze, glinker и DumpBrowserSecrets, олакшавају избегавање одбране и крађу акредитива, док Velociraptor подржава активности командовања и контроле.
- Акције након компромитовања често укључују брисање евиденције системских, апликацијских и безбедносних догађаја Windows-а, онемогућавање Microsoft Defender-а и креирање изузетака антивирусног програма како би се смањиле могућности откривања.
Рансомвер користи хибридни модел шифровања који комбинује размену кључева X25519 са симетричним шифровањем XChaCha20. Истраживачи који су пратили кластер активности док је Storm-2697 покретао хаос, утврдили су да је злонамерни софтвер написан у програмском језику Go и замаскиран помоћу Garble-а.
Посебно опасна могућност је омогућена параметром „--spread“, који претвара ransomware из шифратора са једног хоста у саморазмножавајућег црва способног да се дистрибуира по доступним мрежним системима. Када се извршава са аргументом „--wipe“, злонамерни софтвер врши додатне радње намењене елиминисању артефаката који се могу опоравити након шифровања.
Тактике изнуде и оперативна агилност
Докази указују на то да организација „Џентлмени“ користи вишеканалну стратегију изнуде која превазилази распоређивање ransomware-а. Жртве се такође могу суочити са директном комуникацијом путем е-поште и телефонским кампањама притиска осмишљеним да повећају вероватноћу плаћања.
Развојни циклус групе показује необично висок ниво одзива. Један значајан пример догодио се у априлу 2026. године када су оператери објавили закрпу истог дана када је дешифратор постао јавно доступан.
Упади обично остају неоткривени у периодима од две до шест недеља пре него што се изврши шифровање. Организације које управљају VMware инфраструктуром изгледа да су посебан фокус напора циљања.
Интерна цурења информација откривају организациону структуру
Значајан обавештајни пробој догодио се у мају 2026. године након откривања интерне базе података Rocket.Chat коју је користила група. Цурење информација садржало је 3.366 порука размењених између новембра 2025. и краја априла 2026. године, пружајући драгоцен увид у унутрашњу структуру и токове рада операције.
Комуникација је открила јасну поделу одговорности међу члановима и документовала коришћење рањивости које утичу на технологије компанија VMware Aria Operations, Fortinet, Cisco и Microsoft. Записи су приказали добро организовану криминалну организацију са специјализованим улогама које подржавају различите фазе нападачких операција.
Процуреле информације су такође показале активно праћење и процену нових рањивости, укључујући CVE-2024-55591, CVE-2025-32433 и CVE-2025-33073. Ови експлоати су комбиновани са додатним путевима напада који укључују злоупотребу система резервних копија, компромитовање управљачког контролера и NTLM технике релеја, стварајући веома флексибилан оквир за експлоатацију.
Изложеност комплетног алата за оператера
У марту 2026. године, истраживачи сајбер безбедности идентификовали су изложени директоријум хостован на непробојном хостинг сервису Proton66. Директоријум је садржао 126 датотека које се приписују RaaS партнеру компаније The Gentlemen и ефикасно је открио комплетан скуп алата за оператере ransomware-а.
Процурели алат покрива скоро сваку фазу животног циклуса напада:
- Извиђање и профилисање жртава
- Ескалација привилегија
- Избегавање одбране
- Крађа акредитива
- Бочно кретање
- Механизми перзистенције
- Припремне активности пре шифровања
Ширина алата истакла је оперативну зрелост екосистема и пружила редак увид у ресурсе доступне придруженим организацијама.
Претња која се крије иза бренда
ЛАРВА-368 је укључена у сајбер криминалне активности усмерене на изнуду најмање од 2020. године. Искуство стечено кроз сарадњу са више операција са ransomware-ом изгледа да је обезбедило техничку стручност, оперативно знање и криминалну мрежу неопходне за успостављање и скалирање The Gentlemen-а у значајно независно RaaS предузеће.
Комбинација техничке софистицираности, пословних пракси усмерених на партнере, брзих циклуса развоја и агресивних тактика изнуде позиционирала је Џентлмене међу најистакнутијим претњама ransomware-а са којима се тренутно суочавају организације широм света.
