Rabattoffert för flera licenser
Hotdatabas Ransomware The Gentlemen Ransomware

The Gentlemen Ransomware

Med Mezo år Ransomware, Advanced Persistent Threat (APT)
Översätt till:

Undersökningar av The Gentlemen-operationen visar att den ekonomiskt motiverade hotgruppen ursprungligen fungerade som en ansluten organisation som utförde dubbla utpressningsattacker samtidigt som de utnyttjade infrastruktur och resurser från flera RaaS-ekosystem (Ransomware-as-a-Service), inklusive LockBit, Qilin och Medusa.

Operationen spåras av flera forskare under namnet Phantom Mantis och leds av en rysktalande cyberbrottsling identifierad som LARVA-368. Denna person har kopplats till flera onlinealias, inklusive hastalamuerte, ArmCorp, zeta88, nobody0 och santamuerte. Gruppen, som varit aktiv sedan mars 2025, har offentligt tagit på sig ansvaret för 478 offer.

Hotgruppens framväxt

En större omvandling skedde i juli 2025 när Phantom Mantis utvecklades till The Gentlemen, ett oberoende partnerskapsprogram som inte längre är beroende av externa RaaS-operatörer. Övergången åtföljdes av omfattande användning av artificiell intelligens för att stödja utveckling av ransomware, verktygsunderhåll och aktiviteter efter utnyttjandet.

Hotinformationsanalyser tyder på att LARVA-368 tidigare verkade inom Embargo ransomware-gruppen innan de lanserade en separat operation under varumärket ArmCorp. Fyra månader senare omdöptes operationen till The Gentlemen.

Tidpunkten för denna övergång var nära kopplad till en offentlig tvist mellan LARVA-368 och ransomware-operationen Qilin. Hotaktören anklagade Qilin för att ha genomfört en exit-bedrägeri och undanhållit cirka 48 000 dollar i intäkter.

För att stärka marknadsnärvaron inom underground-communities har Phantom Mantis investerat i premiummedlemskap på cyberkriminella forum. Kommunikation och tekniska supportfunktioner hanteras till stor del av en separat rysktalande persona som kallas The Gentlemen Data.

Ett moget och snabbt växande ransomware-ekosystem

Säkerhetsforskare karakteriserar The Gentlemen som en mycket anpassningsbar och snabbt utvecklande ransomware-operation som kombinerar traditionella ransomware-tekniker med moderna RaaS-funktioner. Dess operativa modell innefattar dubbel utpressning, plattformsoberoende ransomware-varianter, flexibla spridningsmekanismer och omfattande affiliate-support.

Gruppen har snabbt framstått som en av de mest aktiva ransomware-aktörerna i hotbilden och står för cirka 10 % av all observerad ransomware-aktivitet under april 2026. Attackkampanjer följer vanligtvis en företagsfokuserad intrångskedja som börjar genom sårbara internetbaserade tjänster eller komprometterade inloggningsuppgifter.

Analysen tyder vidare på att operatörer dynamiskt kan modifiera taktiker under intrång. Aktiviteterna har inkluderat manipulering av gruppolicyobjekt (GPO:er), kompromettering av privilegierade konton och implementering av anpassade tekniker utformade för att kringgå säkerhetskontroller för slutpunkter.

Offerfördelningen visar på ett övervägande internationellt fokus. Endast cirka 13 % av de kända offren finns i USA, medan de högsta koncentrationerna av offer har observerats i Thailand, Storbritannien, Brasilien, Tyskland och Indien.

Affiliate-support och kriminell affärsverksamhet

The Gentlemen upprätthåller ett strukturerat affiliate-ekosystem som stöds direkt av LARVA-368. Dedikerade konton på The Gentlemen IM-plattformen ger hjälp med krypteringsprocesser och intrångsrelaterade utmaningar, inklusive tillgång till EDR-förbikopplingsverktyg som utnyttjar BYOVD-tekniker (Bring Your Own Vulnerable Driver).

Supporttjänster för både The Gentlemen och The Gentlemen Data finns tillgängliga via meddelandeplattformarna Tox, SimpleX Chat och Ricochet Refresh. Potentiella affiliates måste skicka in minst 1 GB stulen offerdata innan de får tillgång till affiliateportalen. Detta krav verkar vara avsett att förhindra att forskare och brottsbekämpande myndigheter infiltrerar plattformen genom att utge sig för att vara affiliates.

Portalen för affiliatehantering möjliggör användaradministration, målkonfiguration och hantering av ransomware-distribution. För att attrahera deltagare främjar verksamheten en aggressiv intäktsdelningsstruktur där 90 % av vinsten fördelas till affiliates och 10 % till operatörerna.

Teknisk infrastruktur och attackmetodik

Gruppen erbjuder fem ransomware-varianter utformade för att rikta in sig på Windows-, Linux-, ESXi-, Windows XP- och senare system, samt miljöer som använder Logical Volume Manager (LVM). Initiala åtkomståtgärder fokuserar vanligtvis på internetansluten infrastruktur såsom VPN-apparater, brandväggar och edge-enheter.

Intrångslivscykeln omfattar en bred arsenal av offensiva verktyg och tekniker:

  • Red-team-verktyg som NetExec, RelayKing, TaskHound, PrivHound och CertiHound används för Active Directory-rekognoscering, certifikatmissbruk, privilegieupptrappning och nätverksdelningsidentifiering. Ytterligare verktyg, inklusive EDRStartupHinder, gfreeze, glinker och DumpBrowserSecrets, underlättar försvarsundangripande och stöld av autentiseringsuppgifter, medan Velociraptor stöder kommando- och kontrollaktiviteter.
  • Åtgärder efter kompromettering inkluderar ofta att rensa Windows system-, program- och säkerhetshändelseloggar, inaktivera Microsoft Defender och skapa antivirusundantag för att minska upptäcktsmöjligheterna.

Ransomware-viruset använder en hybridkrypteringsmodell som kombinerar X25519-nyckelutbyte med symmetrisk XChaCha20-kryptering. Forskare som spårade aktivitetsklustret som Storm-2697 fastställde att skadlig programvara är skriven i Go och obfuskerad med hjälp av Garble.

En särskilt farlig funktion aktiveras genom parametern '--spread', som omvandlar ransomware från en krypteringstjänst med en enda värd till en självspridande mask som kan distribuera sig själv över nåbara nätverkssystem. När den körs med argumentet '--wipe' utför den skadliga programvaran ytterligare åtgärder som är avsedda att eliminera återställningsbara artefakter efter kryptering.

Utpressningstaktik och operativ smidighet

Bevis tyder på att The Gentlemen använder en flerkanalig utpressningsstrategi som sträcker sig bortom ransomware-distribution. Offren kan också utsättas för direkt e-postkommunikation och telefonbaserade påtryckningskampanjer som syftar till att öka sannolikheten för betalning.

Gruppens utvecklingscykel uppvisar en ovanligt hög responsnivå. Ett anmärkningsvärt exempel inträffade i april 2026 när operatörerna släppte en patch samma dag som en dekrypterare blev allmänt tillgänglig.

Intrång förblir vanligtvis oupptäckta i perioder från två till sex veckor innan kryptering körs. Organisationer som driver VMware-infrastruktur verkar vara ett särskilt fokus för riktade insatser.

Interna läckor avslöjar organisationsstruktur

Ett betydande genombrott i underrättelseverksamheten skedde i maj 2026 efter att en intern Rocket.Chat-databas som användes av gruppen avslöjades. Läckan innehöll 3 366 meddelanden som utväxlades mellan november 2025 och slutet av april 2026, vilket gav värdefull insikt i verksamhetens interna struktur och arbetsflöden.

Kommunikationen avslöjade en tydlig ansvarsfördelning mellan medlemmarna och dokumenterade användningen av sårbarheter som påverkade VMware Aria Operations, Fortinet, Cisco och Microsofts tekniker. Uppgifterna porträtterade ett välorganiserat kriminellt företag med specialiserade roller som stödde olika faser av attackoperationer.

Den läckta informationen visade också aktiv övervakning och utvärdering av framväxande sårbarheter, inklusive CVE-2024-55591, CVE-2025-32433 och CVE-2025-33073. Dessa exploateringar kombinerades med ytterligare attackvägar som involverade missbruk av backup-system, kompromettering av hanteringskontroller och NTLM-relätekniker, vilket skapade ett mycket flexibelt exploateringsramverk.

Exponering av en komplett verktygslåda för operatörer

I mars 2026 identifierade cybersäkerhetsforskare en exponerad katalog som låg på webbhotelltjänsten Proton66 bulletproof. Katalogen innehöll 126 filer som tillskrivits en The Gentlemen RaaS-filial och exponerade effektivt en komplett verktygslåda för ransomware-operatörer.

Den läckta verktygslådan täckte nästan varje steg i attackens livscykel:

  • Rekognosering och offerprofilering
  • Upptrappning av privilegier
  • Försvarsundangripande
  • Stöld av autentiseringsuppgifter
  • Sidoförflyttning
  • Persistensmekanismer
  • Förberedelser inför kryptering

    • Verktygslådans bredd belyste ekosystemets operativa mognad och gav en sällsynt inblick i de resurser som finns tillgängliga för affiliates.

    Hotet bakom varumärket

    LARVA-368 har varit involverat i utpressningsfokuserad cyberkriminell verksamhet sedan åtminstone 2020. Erfarenhet från samarbeten med flera ransomware-operationer verkar ha gett den tekniska expertis, operativa kunskap och det kriminella nätverk som krävs för att etablera och skala upp The Gentlemen till ett betydande oberoende RaaS-företag.

    Verksamhetens kombination av teknisk sofistikering, affiliate-fokuserade affärsmetoder, snabba utvecklingscykler och aggressiva utpressningstaktik har placerat The Gentlemen bland de mest framträdande ransomware-hoten som organisationer världen över står inför för närvarande.

    Trendigt

    Mest sedda

    Läser in...