தி ஜென்டில்மென் ரேன்சம்வேர்

'தி ஜென்டில்மென்' குழுவின் செயல்பாடு குறித்த விசாரணைகள், நிதி ஆதாயத்தை நோக்கமாகக் கொண்ட இந்த அச்சுறுத்திக் குழு, ஆரம்பத்தில் லாக்பிட், கிலின் மற்றும் மெடுசா உள்ளிட்ட பல ரேன்சம்வேர்-அஸ்-எ-சர்வீஸ் (RaaS) சூழலமைப்புகள் வழங்கிய உள்கட்டமைப்பு மற்றும் வளங்களைப் பயன்படுத்திக்கொண்டு, இரட்டை மிரட்டல் தாக்குதல்களை நடத்தும் ஒரு துணை அமைப்பாகச் செயல்பட்டது என்பதை வெளிப்படுத்துகின்றன.

இந்தச் செயல்பாடு, ஃபேன்டம் மான்டிஸ் என்ற பெயரில் பல ஆராய்ச்சியாளர்களால் கண்காணிக்கப்படுகிறது. மேலும், LARVA-368 என அடையாளம் காணப்பட்ட, ரஷ்ய மொழி பேசும் ஒரு இணையக் குற்றவாளியால் இது வழிநடத்தப்படுகிறது. இந்த நபர், hastalamuerte, ArmCorp, zeta88, nobody0, மற்றும் santamuerte உள்ளிட்ட பல இணையப் புனைப்பெயர்களுடன் தொடர்புடையவர். மார்ச் 2025 முதல் செயல்பட்டு வரும் இந்தக் குழு, 478 பாதிக்கப்பட்டவர்களுக்குத் தாங்கள் பொறுப்பு என்று பகிரங்கமாகக் கூறியுள்ளது.

அச்சுறுத்தல் குழுவின் தோற்றம்

ஜூலை 2025-ல் ஒரு பெரிய மாற்றம் நிகழ்ந்தது. அப்போது, வெளிப்புற RaaS இயக்குநர்களை இனி சார்ந்திருக்காத ஒரு சுதந்திரமான கூட்டாண்மைத் திட்டமான 'தி ஜென்டில்மென்' ஆக ஃபேன்டம் மான்டிஸ் பரிணமித்தது. இந்த மாற்றத்தின்போது, ரான்சம்வேர் உருவாக்கம், கருவிப் பராமரிப்பு மற்றும் சுரண்டலுக்குப் பிந்தைய செயல்பாடுகளுக்கு ஆதரவளிக்க செயற்கை நுண்ணறிவு விரிவாகப் பயன்படுத்தப்பட்டது.

அச்சுறுத்தல் புலனாய்வு மதிப்பீடுகளின்படி, LARVA-368 ஆனது ArmCorp என்ற பெயரில் ஒரு தனிச் செயல்பாட்டைத் தொடங்குவதற்கு முன்பு, Embargo ransomware குழுவிற்குள் இயங்கி வந்தது. நான்கு மாதங்களுக்குப் பிறகு, அந்தச் செயல்பாட்டிற்கு The Gentlemen எனப் பெயர் மாற்றப்பட்டது.

இந்த மாற்றத்தின் காலமானது, LARVA-368 மற்றும் Qilin ransomware செயல்பாட்டிற்கு இடையேயான ஒரு பகிரங்கமான சர்ச்சையுடன் நெருக்கமாகப் பொருந்தி வந்தது. அந்த அச்சுறுத்தல் காரணியானது, Qilin ஒரு வெளியேறும் மோசடியை நடத்தியதாகவும், சுமார் $48,000 வருவாயைத் தடுத்து வைத்ததாகவும் குற்றம் சாட்டியது.

மறைமுக சமூகங்களுக்குள் தனது சந்தை இருப்பை வலுப்படுத்த, ஃபேன்டம் மான்டிஸ் இணையக் குற்றவாளிகள் மன்றங்களில் பிரீமியம் உறுப்பினர் சந்தாக்களில் முதலீடு செய்துள்ளது. தகவல் தொடர்பு மற்றும் தொழில்நுட்ப ஆதரவுப் பணிகள் பெரும்பாலும் 'தி ஜென்டில்மென் டேட்டா' என்று அறியப்படும், ரஷ்ய மொழி பேசும் ஒரு தனி நபரால் நிர்வகிக்கப்படுகின்றன.

முதிர்ச்சியடைந்த மற்றும் வேகமாக வளர்ந்து வரும் ரான்சம்வேர் சூழலமைப்பு

பாதுகாப்பு ஆராய்ச்சியாளர்கள் 'தி ஜென்டில்மென்' என்பதை, பாரம்பரிய ரான்சம்வேர் நுட்பங்களை நவீன RaaS திறன்களுடன் இணைக்கும், மிகவும் தகவமைத்துக் கொள்ளக்கூடிய மற்றும் வேகமாகப் பரிணமிக்கும் ஒரு ரான்சம்வேர் செயல்பாடாக வகைப்படுத்துகின்றனர். அதன் செயல்பாட்டு மாதிரியானது இரட்டை மிரட்டல், பல தளங்களில் செயல்படும் ரான்சம்வேர் வகைகள், நெகிழ்வான பரவல் வழிமுறைகள் மற்றும் விரிவான துணை நிறுவன ஆதரவு ஆகியவற்றை உள்ளடக்கியுள்ளது.

இந்தக் குழு, அச்சுறுத்தல் களத்தில் மிகவும் சுறுசுறுப்பான ரான்சம்வேர் தாக்குதல் குழுக்களில் ஒன்றாக வேகமாக உருவெடுத்துள்ளது. ஏப்ரல் 2026-ஆம் ஆண்டில் கண்டறியப்பட்ட அனைத்து ரான்சம்வேர் செயல்பாடுகளிலும் இது ஏறத்தாழ 10% பங்களித்துள்ளது. இந்தத் தாக்குதல் நடவடிக்கைகள், பொதுவாக நிறுவனங்களை மையமாகக் கொண்ட ஒரு ஊடுருவல் சங்கிலியைப் பின்பற்றுகின்றன. இது, எளிதில் ஊடுருவக்கூடிய இணைய அடிப்படையிலான சேவைகள் அல்லது சமரசம் செய்யப்பட்ட நற்சான்றுகள் வழியாகத் தொடங்குகிறது.

ஊடுருவல்களின் போது இயக்குநர்கள் தங்கள் தந்திரங்களை மாறும் தன்மையுடன் மாற்றியமைக்க முடியும் என்று பகுப்பாய்வு மேலும் தெரிவிக்கிறது. குழு கொள்கை பொருள்களை (GPOs) கையாளுதல், சிறப்புரிமை பெற்ற கணக்குகளின் பாதுகாப்பை மீறுதல், மற்றும் இறுதிநிலை பாதுகாப்பு கட்டுப்பாடுகளைத் தவிர்ப்பதற்காக வடிவமைக்கப்பட்ட தனிப்பயனாக்கப்பட்ட நுட்பங்களைப் பயன்படுத்துதல் ஆகியவை இந்தச் செயல்பாடுகளில் அடங்கும்.

பாதிக்கப்பட்டவர்களின் பரவல், அவர்கள் பெரும்பாலும் சர்வதேச அளவில் பாதிக்கப்பட்டிருப்பதைக் காட்டுகிறது. அறியப்பட்ட பாதிக்கப்பட்டவர்களில் சுமார் 13% மட்டுமே அமெரிக்காவில் உள்ளனர். அதே சமயம், தாய்லாந்து, ஐக்கிய இராச்சியம், பிரேசில், ஜெர்மனி மற்றும் இந்தியா ஆகிய நாடுகளில் பாதிக்கப்பட்டவர்களின் எண்ணிக்கை மிக அதிகமாகக் காணப்பட்டுள்ளது.

இணைப்பு ஆதரவு மற்றும் குற்றவியல் வணிக நடவடிக்கைகள்

தி ஜென்டில்மென், LARVA-368-இன் நேரடி ஆதரவுடன் ஒரு கட்டமைக்கப்பட்ட இணைப்புச் சூழலமைப்பைப் பராமரிக்கிறது. தி ஜென்டில்மென் IM தளத்தில் உள்ள பிரத்யேக கணக்குகள், குறியாக்கச் செயல்முறைகள் மற்றும் ஊடுருவல் தொடர்பான சவால்களுக்கு உதவியை வழங்குகின்றன; இதில், 'உங்கள் சொந்த பாதிப்புக்குள்ளாகும் இயக்கியைக் கொண்டு வாருங்கள்' (BYOVD) நுட்பங்களைப் பயன்படுத்தும் EDR புறவழி கருவிகளுக்கான அணுகலும் அடங்கும்.

தி ஜென்டில்மென் மற்றும் தி ஜென்டில்மென் டேட்டா ஆகிய இரண்டிற்குமான ஆதரவு சேவைகள், டாக்ஸ் (Tox), சிம்பிள்எக்ஸ் சாட் (SimpleX Chat), மற்றும் ரிகோஷே ரிஃப்ரெஷ் (Ricochet Refresh) ஆகிய செய்திப் பரிமாற்றத் தளங்கள் மூலம் கிடைக்கின்றன. வருங்கால இணைப்பாளர்கள், இணைப்பு வலைதளத்திற்கான அணுகலைப் பெறுவதற்கு முன்பு, திருடப்பட்ட பாதிக்கப்பட்டவர்களின் குறைந்தபட்சம் 1 ஜிபி தரவைச் சமர்ப்பிக்க வேண்டும். ஆராய்ச்சியாளர்களும் சட்ட அமலாக்க முகமைகளும் தங்களை இணைப்பாளர்களாகக் காட்டிக்கொண்டு இந்தத் தளத்திற்குள் ஊடுருவுவதைத் தடுக்கும் நோக்கிலேயே இந்த நிபந்தனை விதிக்கப்பட்டிருப்பதாகத் தெரிகிறது.

இணை நிறுவன மேலாண்மை வலைவாசல், பயனர் நிர்வாகம், இலக்கு உள்ளமைவு மற்றும் ரான்சம்வேர் பரவல் மேலாண்மை ஆகியவற்றைச் செயல்படுத்துகிறது. பங்கேற்பாளர்களை ஈர்ப்பதற்காக, இந்த நிறுவனம் ஒரு தீவிரமான வருவாய்ப் பகிர்வுக் கட்டமைப்பை ஊக்குவிக்கிறது; இது இலாபத்தில் 90%-ஐ இணை நிறுவனங்களுக்கும், 10%-ஐ இயக்குபவர்களுக்கும் ஒதுக்குகிறது.

தொழில்நுட்ப உள்கட்டமைப்பு மற்றும் தாக்குதல் வழிமுறை

இந்தக் குழு, விண்டோஸ், லினக்ஸ், ESXi, விண்டோஸ் XP மற்றும் அதற்குப் பிந்தைய கணினி அமைப்புகளையும், லாஜிக்கல் வால்யூம் மேனேஜரை (LVM) பயன்படுத்தும் சூழல்களையும் குறிவைக்கும் வகையில் வடிவமைக்கப்பட்ட ஐந்து வகையான ரான்சம்வேர்களை வழங்குகிறது. ஆரம்பகட்ட அணுகல் செயல்பாடுகள் பொதுவாக VPN சாதனங்கள், ஃபயர்வால்கள் மற்றும் எட்ஜ் சாதனங்கள் போன்ற இணையத்துடன் இணைக்கப்பட்ட உள்கட்டமைப்புகளில் கவனம் செலுத்துகின்றன.

ஊடுருவல் வாழ்க்கைச் சுழற்சியானது, பரந்த அளவிலான தாக்குதல் கருவிகளையும் நுட்பங்களையும் உள்ளடக்கியுள்ளது:

• NetExec, RelayKing, TaskHound, PrivHound, மற்றும் CertiHound போன்ற ரெட்-டீம் பயன்பாடுகள், ஆக்டிவ் டைரக்டரி உளவு, சான்றிதழ் துஷ்பிரயோகம், சிறப்புரிமை உயர்வு மற்றும் நெட்வொர்க்-ஷேர் கண்டறிதல் ஆகியவற்றிற்காகப் பயன்படுத்தப்படுகின்றன. EDRStartupHinder, gfreeze, glinker, மற்றும் DumpBrowserSecrets உள்ளிட்ட கூடுதல் கருவிகள் பாதுகாப்புத் தவிர்ப்பு மற்றும் நற்சான்றிதழ் திருட்டை எளிதாக்குகின்றன, அதே நேரத்தில் Velociraptor கட்டளை மற்றும் கட்டுப்பாட்டுச் செயல்பாடுகளை ஆதரிக்கிறது.
• பாதுகாப்பு மீறலுக்குப் பிந்தைய நடவடிக்கைகளில், விண்டோஸ் சிஸ்டம், அப்ளிகேஷன் மற்றும் பாதுகாப்பு நிகழ்வுப் பதிவுகளை அழித்தல், மைக்ரோசாஃப்ட் டிஃபென்டரை முடக்குதல், மற்றும் கண்டறியப்படுவதற்கான வாய்ப்புகளைக் குறைக்க வைரஸ் தடுப்பு விலக்குகளை உருவாக்குதல் ஆகியவை அடிக்கடி அடங்கும்.

இந்த ரான்சம்வேர், X25519 சாவிப் பரிமாற்றத்தையும் XChaCha20 சமச்சீர் குறியாக்கத்தையும் இணைக்கும் ஒரு கலப்பின குறியாக்க மாதிரியைப் பயன்படுத்துகிறது. Storm-2697 என்ற பெயரில் இந்தச் செயல்பாட்டுக் குழுமத்தைக் கண்காணித்து வரும் ஆராய்ச்சியாளர்கள், இந்த மால்வேர் Go மொழியில் எழுதப்பட்டு, Garble-ஐப் பயன்படுத்தி மறைக்கப்பட்டுள்ளது என்று கண்டறிந்துள்ளனர்.

'--spread' அளவுரு மூலம் ஒரு குறிப்பாக அபாயகரமான திறன் செயல்படுத்தப்படுகிறது. இது, ரான்சம்வேரை ஒற்றை-ஹோஸ்ட் என்க்ரிப்டரிலிருந்து, அணுகக்கூடிய நெட்வொர்க் அமைப்புகள் முழுவதும் தன்னைத்தானே பரப்பிக் கொள்ளும் திறன் கொண்ட ஒரு சுய-பரவும் வார்மாக மாற்றுகிறது. '--wipe' ஆர்குமென்ட்டுடன் செயல்படுத்தப்படும்போது, அந்த மால்வேர், என்க்ரிப்ஷனுக்குப் பிறகு மீட்கக்கூடிய தடயங்களை அழிக்கும் நோக்கில் கூடுதல் செயல்களைச் செய்கிறது.

மிரட்டிப் பணம் பறிக்கும் தந்திரங்கள் மற்றும் செயல்பாட்டுத் திறன்

'தி ஜென்டில்மென்' குழுவினர், ரான்சம்வேர் பயன்பாட்டையும் தாண்டி, பல வழிகளில் பணம் பறிக்கும் ஒரு உத்தியைக் கையாள்கின்றனர் என்று ஆதாரங்கள் தெரிவிக்கின்றன. பணம் செலுத்துவதற்கான வாய்ப்பை அதிகரிக்கும் நோக்கில் வடிவமைக்கப்பட்ட நேரடி மின்னஞ்சல் தொடர்புகள் மற்றும் தொலைபேசி மூலமான அழுத்தப் பிரச்சாரங்களையும் பாதிக்கப்பட்டவர்கள் எதிர்கொள்ள நேரிடலாம்.

இந்தக் குழுவின் மேம்பாட்டுச் சுழற்சி, வழக்கத்திற்கு மாறாக மிக உயர்ந்த அளவிலான பதிலளிக்கும் திறனை வெளிப்படுத்துகிறது. இதற்கு ஒரு குறிப்பிடத்தக்க உதாரணம், ஏப்ரல் 2026-ல், ஒரு மறைகுறியாக்கி (decryptor) பொதுவெளியில் கிடைத்த அதே நாளில், இயக்குபவர்கள் ஒரு திருத்தப் பிழையை (patch) வெளியிட்டனர்.

குறியாக்கம் செயல்படுத்தப்படுவதற்கு முன்பு, ஊடுருவல்கள் பொதுவாக இரண்டு முதல் ஆறு வாரங்கள் வரை கண்டறியப்படாமல் இருக்கின்றன. VMware உள்கட்டமைப்பை இயக்கும் நிறுவனங்கள், இலக்கு வைக்கும் முயற்சிகளின் ஒரு குறிப்பிட்ட கவனமாகத் தெரிகின்றன.

உள் கசிவுகள் நிறுவனக் கட்டமைப்பை வெளிப்படுத்துகின்றன

அந்தக் குழு பயன்படுத்திய Rocket.Chat-இன் உள் தரவுத்தளம் அம்பலமானதைத் தொடர்ந்து, மே 2026-இல் ஒரு குறிப்பிடத்தக்க உளவுத்துறை முன்னேற்றம் ஏற்பட்டது. இந்தக் கசிவில், நவம்பர் 2025 முதல் ஏப்ரல் 2026 இறுதி வரை பரிமாறப்பட்ட 3,366 செய்திகள் அடங்கியிருந்தன. இது, அந்தச் செயல்பாட்டின் உள் கட்டமைப்பு மற்றும் பணிப்பாய்வுகள் குறித்த மதிப்புமிக்கப் பார்வையை வழங்கியது.

அந்தத் தகவல்தொடர்புகள், உறுப்பினர்களிடையே பொறுப்புகள் தெளிவாகப் பிரிக்கப்பட்டிருந்ததை வெளிப்படுத்தியதுடன், VMware Aria Operations, Fortinet, Cisco மற்றும் Microsoft தொழில்நுட்பங்களைப் பாதிக்கும் பாதுகாப்புக் குறைபாடுகளின் பயன்பாட்டையும் ஆவணப்படுத்தின. அந்தப் பதிவுகள், தாக்குதல் நடவடிக்கைகளின் வெவ்வேறு கட்டங்களுக்கு ஆதரவளிக்கும் சிறப்புப் பணிகளைக் கொண்ட, நன்கு ஒழுங்கமைக்கப்பட்ட ஒரு குற்றச் செயல் அமைப்பைச் சித்தரித்தன.

கசிந்த தகவல்கள், CVE-2024-55591, CVE-2025-32433, மற்றும் CVE-2025-33073 உள்ளிட்ட புதிதாக உருவாகும் பாதிப்புகள் தீவிரமாகக் கண்காணிக்கப்பட்டு மதிப்பீடு செய்யப்படுவதையும் காட்டின. இந்த சுரண்டல்கள், காப்பு அமைப்பு துஷ்பிரயோகம், மேலாண்மைக் கட்டுப்பாட்டாளர் சமரசம், மற்றும் NTLM ரிலே நுட்பங்கள் ஆகியவற்றை உள்ளடக்கிய கூடுதல் தாக்குதல் வழிகளுடன் இணைக்கப்பட்டு, மிகவும் நெகிழ்வான சுரண்டல் கட்டமைப்பை உருவாக்கின.

ஒரு முழுமையான ஆபரேட்டர் கருவித்தொகுப்பின் வெளிப்பாடு

மார்ச் 2026-ல், இணையப் பாதுகாப்பு ஆராய்ச்சியாளர்கள், புரோட்டான்66 புல்லட்ப்ரூஃப் ஹோஸ்டிங் சேவையில் ஹோஸ்ட் செய்யப்பட்டிருந்த, பாதுகாப்பற்ற ஒரு கோப்பகத்தைக் கண்டறிந்தனர். அந்தக் கோப்பகத்தில், 'தி ஜென்டில்மென் ராஸ்' (The Gentlemen RaaS) துணை நிறுவனத்தைச் சேர்ந்த 126 கோப்புகள் இருந்தன. இது, ஒரு முழுமையான ரான்சம்வேர் இயக்குபவரின் கருவித்தொகுப்பைத் திறம்பட அம்பலப்படுத்தியது.

கசிந்த கருவித்தொகுப்பு, தாக்குதல் வாழ்க்கைச் சுழற்சியின் ஏறக்குறைய ஒவ்வொரு கட்டத்தையும் உள்ளடக்கியிருந்தது:

• உளவு மற்றும் பாதிக்கப்பட்டவரைப் பற்றிய விவரங்களைச் சேகரித்தல்

இந்தக் கருவித்தொகுப்பின் விரிவான தன்மையானது, சூழலமைப்பின் செயல்பாட்டு முதிர்ச்சியை எடுத்துக்காட்டியதுடன், இணை நிறுவனங்களுக்குக் கிடைக்கும் வளங்கள் குறித்த ஒரு அரிய பார்வையையும் வழங்கியது.

பிராண்டின் பின்னணியில் உள்ள அச்சுறுத்தல்

LARVA-368, குறைந்தபட்சம் 2020 ஆம் ஆண்டிலிருந்தே மிரட்டிப் பணம் பறிப்பதை மையமாகக் கொண்ட இணையக் குற்றச் செயல்களில் ஈடுபட்டு வருகிறது. பல ரான்சம்வேர் குழுக்களுடனான ஒத்துழைப்புகள் மூலம் பெற்ற அனுபவமானது, 'தி ஜென்டில்மென்' அமைப்பை ஒரு குறிப்பிடத்தக்க, சுதந்திரமான RaaS நிறுவனமாக நிறுவி விரிவுபடுத்துவதற்குத் தேவையான தொழில்நுட்ப நிபுணத்துவம், செயல்பாட்டு அறிவு மற்றும் குற்றவியல் வலையமைப்பை வழங்கியிருப்பதாகத் தெரிகிறது.

இந்தச் செயல்பாட்டின் தொழில்நுட்ப நுணுக்கம், துணை நிறுவனங்களை மையமாகக் கொண்ட வணிக நடைமுறைகள், விரைவான வளர்ச்சிச் சுழற்சிகள் மற்றும் ஆக்ரோஷமான மிரட்டிப் பணம் பறிக்கும் தந்திரங்கள் ஆகியவற்றின் கலவையானது, தற்போது உலகெங்கிலும் உள்ள நிறுவனங்கள் எதிர்கொள்ளும் மிக முக்கியமான ரான்சம்வேர் அச்சுறுத்தல்களில் ஒன்றாக 'தி ஜென்டில்மென்' குழுவை நிலைநிறுத்தியுள்ளது.