ది జెంటిల్మెన్ రాన్సమ్‌వేర్

ది జెంటిల్మెన్ ఆపరేషన్‌పై జరిపిన దర్యాప్తులో వెల్లడైన విషయమేమిటంటే, ఆర్థిక ప్రేరణతో పనిచేసే ఈ ముప్పు సమూహం, మొదట్లో లాక్‌బిట్, కిలిన్ మరియు మెడుసా వంటి పలు రాన్సమ్‌వేర్-యాజ్-ఎ-సర్వీస్ (RaaS) ఎకోసిస్టమ్‌లు అందించిన మౌలిక సదుపాయాలు మరియు వనరులను ఉపయోగించుకుంటూ, ద్వంద్వ దోపిడీ దాడులను నిర్వహించే ఒక అనుబంధ సంస్థగా పనిచేసింది.

ఫాంటమ్ మాంటిస్ అనే పేరుతో పలువురు పరిశోధకులు ఈ ఆపరేషన్‌ను పర్యవేక్షిస్తున్నారు మరియు దీనికి LARVA-368గా గుర్తించబడిన రష్యన్ మాట్లాడే సైబర్ నేరగాడు నాయకత్వం వహిస్తున్నాడు. ఈ వ్యక్తి hastalamuerte, ArmCorp, zeta88, nobody0, మరియు santamuerte వంటి అనేక ఆన్‌లైన్ మారుపేర్లతో సంబంధం కలిగి ఉన్నాడు. మార్చి 2025 నుండి చురుకుగా ఉన్న ఈ బృందం, 478 మంది బాధితులకు తామే బాధ్యులమని బహిరంగంగా ప్రకటించింది.

ముప్పు సమూహం ఆవిర్భావం

జూలై 2025లో ఫాంటమ్ మాంటిస్, బాహ్య RaaS ఆపరేటర్లపై ఆధారపడని ఒక స్వతంత్ర భాగస్వామ్య ప్రోగ్రామ్ అయిన 'ది జెంటిల్‌మెన్'గా పరిణామం చెందడంతో ఒక ప్రధాన పరివర్తన సంభవించింది. ఈ మార్పుతో పాటు, రాన్సమ్‌వేర్ అభివృద్ధి, టూల్ నిర్వహణ మరియు దోపిడీ అనంతర కార్యకలాపాలకు మద్దతు ఇవ్వడానికి కృత్రిమ మేధస్సును విస్తృతంగా ఉపయోగించారు.

ముప్పు నిఘా అంచనాల ప్రకారం, LARVA-368 గతంలో ఎంబార్గో ర్యాన్సమ్‌వేర్ గ్రూప్‌లో భాగంగా పనిచేసి, ఆ తర్వాత ఆర్మ్‌కార్ప్ బ్రాండ్‌తో ఒక ప్రత్యేక ఆపరేషన్‌ను ప్రారంభించింది. నాలుగు నెలల తర్వాత, ఆ ఆపరేషన్‌కు 'ది జెంటిల్‌మెన్' అని కొత్త పేరు పెట్టారు.

ఈ మార్పు జరిగిన సమయం, లార్వా-368 మరియు కిలిన్ ర్యాన్సమ్‌వేర్ ఆపరేషన్ మధ్య జరిగిన బహిరంగ వివాదంతో చాలా దగ్గరగా సరిపోయింది. కిలిన్ ఒక ఎగ్జిట్ స్కామ్ నిర్వహించిందని మరియు సుమారు $48,000 సంపాదనను నిలిపివేసిందని ఆ థ్రెట్ యాక్టర్ ఆరోపించింది.

అండర్‌గ్రౌండ్ కమ్యూనిటీలలో మార్కెట్ ఉనికిని బలోపేతం చేయడానికి, ఫాంటమ్ మాంటిస్ సైబర్‌క్రైమినల్ ఫోరమ్‌లలో ప్రీమియం సభ్యత్వాలలో పెట్టుబడి పెట్టింది. కమ్యూనికేషన్లు మరియు సాంకేతిక మద్దతు విధులు ప్రధానంగా 'ది జెంటిల్‌మెన్ డేటా'గా పిలువబడే, రష్యన్ మాట్లాడే ఒక ప్రత్యేక వ్యక్తి ద్వారా నిర్వహించబడతాయి.

పరిపక్వమైన మరియు వేగంగా అభివృద్ధి చెందుతున్న రాన్సమ్‌వేర్ పర్యావరణ వ్యవస్థ

భద్రతా పరిశోధకులు 'ది జెంటిల్‌మెన్'ను, సాంప్రదాయ రాన్సమ్‌వేర్ పద్ధతులను ఆధునిక RaaS సామర్థ్యాలతో మిళితం చేసే, అత్యంత అనుకూలమైన మరియు వేగంగా అభివృద్ధి చెందుతున్న రాన్సమ్‌వేర్ ఆపరేషన్‌గా వర్గీకరిస్తారు. దీని కార్యాచరణ నమూనాలో ద్వంద్వ దోపిడీ, క్రాస్-ప్లాట్‌ఫామ్ రాన్సమ్‌వేర్ వేరియంట్లు, సౌకర్యవంతమైన వ్యాప్తి యంత్రాంగాలు మరియు విస్తృతమైన అనుబంధ సంస్థల మద్దతు వంటివి పొందుపరచబడ్డాయి.

ఈ బృందం ముప్పుల ప్రపంచంలో అత్యంత చురుకైన రాన్సమ్‌వేర్ దాడి చేసేవారిలో ఒకటిగా వేగంగా ఆవిర్భవించింది, ఏప్రిల్ 2026లో గమనించిన మొత్తం రాన్సమ్‌వేర్ కార్యకలాపాలలో సుమారు 10% వాటాను కలిగి ఉంది. దాడి ప్రచారాలు సాధారణంగా సంస్థ-కేంద్రీకృత చొరబాటు గొలుసును అనుసరిస్తాయి, ఇది హాని కలిగించే ఇంటర్నెట్-ఫేసింగ్ సేవలు లేదా రాజీపడిన ఆధారాల ద్వారా ప్రారంభమవుతుంది.

చొరబాట్ల సమయంలో ఆపరేటర్లు తమ వ్యూహాలను డైనమిక్‌గా మార్చుకోగలరని విశ్లేషణ మరింతగా సూచిస్తోంది. గ్రూప్ పాలసీ ఆబ్జెక్ట్‌లను (GPOలు) తారుమారు చేయడం, ప్రత్యేక అధికారాలు గల ఖాతాలను హ్యాక్ చేయడం, మరియు ఎండ్‌పాయింట్ భద్రతా నియంత్రణలను తప్పించుకోవడానికి రూపొందించిన ప్రత్యేక పద్ధతులను అమలు చేయడం వంటి కార్యకలాపాలు ఇందులో ఉన్నాయి.

బాధితుల విస్తరణ ప్రధానంగా అంతర్జాతీయ దృష్టిని సూచిస్తుంది. తెలిసిన బాధితులలో కేవలం 13% మంది మాత్రమే యునైటెడ్ స్టేట్స్‌లో ఉన్నారు, కాగా అత్యధిక బాధితులు థాయ్‌లాండ్, యునైటెడ్ కింగ్‌డమ్, బ్రెజిల్, జర్మనీ మరియు భారతదేశంలో ఉన్నట్లు గమనించబడింది.

అనుబంధ మద్దతు మరియు నేరపూరిత వ్యాపార కార్యకలాపాలు

ది జెంటిల్‌మెన్, LARVA-368 ద్వారా నేరుగా మద్దతు పొందే ఒక వ్యవస్థీకృత అనుబంధ పర్యావరణ వ్యవస్థను నిర్వహిస్తుంది. ది జెంటిల్‌మెన్ IM ప్లాట్‌ఫారమ్‌లోని ప్రత్యేక ఖాతాలు, ఎన్‌క్రిప్షన్ ప్రక్రియలకు మరియు చొరబాటు సంబంధిత సవాళ్లకు సహాయాన్ని అందిస్తాయి. ఇందులో బ్రింగ్ యువర్ ఓన్ వల్నరబుల్ డ్రైవర్ (BYOVD) పద్ధతులను ఉపయోగించుకునే EDR బైపాస్ సాధనాలకు యాక్సెస్ కూడా ఉంటుంది.

ది జెంటిల్‌మెన్ మరియు ది జెంటిల్‌మెన్ డేటా రెండింటికీ సంబంధించిన సహాయ సేవలు టాక్స్, సింపుల్‌ఎక్స్ చాట్, మరియు రికోచెట్ రిఫ్రెష్ మెసేజింగ్ ప్లాట్‌ఫారమ్‌ల ద్వారా అందుబాటులో ఉన్నాయి. కాబోయే అఫిలియేట్‌లు అఫిలియేట్ పోర్టల్‌కు యాక్సెస్ పొందడానికి ముందు, కనీసం 1 GB దొంగిలించబడిన బాధితుల డేటాను సమర్పించాలి. పరిశోధకులు మరియు చట్ట అమలు సంస్థలు అఫిలియేట్‌లుగా నటిస్తూ ప్లాట్‌ఫారమ్‌లోకి చొరబడకుండా నిరోధించడమే ఈ నిబంధన యొక్క ఉద్దేశ్యంగా కనిపిస్తోంది.

అఫిలియేట్ మేనేజ్‌మెంట్ పోర్టల్ యూజర్ అడ్మినిస్ట్రేషన్, టార్గెట్ కాన్ఫిగరేషన్ మరియు రాన్సమ్‌వేర్ డిప్లాయ్‌మెంట్ మేనేజ్‌మెంట్‌ను సాధ్యం చేస్తుంది. పాల్గొనేవారిని ఆకర్షించడానికి, ఈ ఆపరేషన్ ఒక దూకుడుగా ఉండే రెవెన్యూ-షేరింగ్ నిర్మాణాన్ని ప్రోత్సహిస్తుంది, ఇది లాభాలలో 90% అఫిలియేట్‌లకు మరియు 10% ఆపరేటర్లకు కేటాయిస్తుంది.

సాంకేతిక మౌలిక సదుపాయాలు మరియు దాడి పద్ధతి

ఈ బృందం విండోస్, లైనక్స్, ESXi, విండోస్ XP మరియు ఆ తర్వాతి సిస్టమ్‌లను, అలాగే లాజికల్ వాల్యూమ్ మేనేజర్ (LVM)ను ఉపయోగించే పరిసరాలను లక్ష్యంగా చేసుకుని రూపొందించిన ఐదు ర్యాన్సమ్‌వేర్ వేరియంట్‌లను అందిస్తుంది. ప్రారంభ యాక్సెస్ కార్యకలాపాలు సాధారణంగా VPN అప్లయెన్సులు, ఫైర్‌వాల్‌లు మరియు ఎడ్జ్ డివైజ్‌ల వంటి ఇంటర్నెట్‌కు అనుసంధానమైన మౌలిక సదుపాయాలపై దృష్టి పెడతాయి.

చొరబాటు జీవితచక్రం విస్తృత శ్రేణి దాడి సాధనాలు మరియు పద్ధతులను కలిగి ఉంటుంది:

• NetExec, RelayKing, TaskHound, PrivHound, మరియు CertiHound వంటి రెడ్-టీమ్ యుటిలిటీలను యాక్టివ్ డైరెక్టరీ నిఘా, సర్టిఫికేట్ దుర్వినియోగం, ప్రివిలేజ్ ఎస్కలేషన్, మరియు నెట్‌వర్క్-షేర్ డిస్కవరీ కోసం ఉపయోగిస్తారు. EDRStartupHinder, gfreeze, glinker, మరియు DumpBrowserSecrets వంటి అదనపు సాధనాలు డిఫెన్స్ ఎగవేత మరియు క్రెడెన్షియల్ దొంగతనానికి సహాయపడతాయి, అయితే Velociraptor కమాండ్-అండ్-కంట్రోల్ కార్యకలాపాలకు మద్దతు ఇస్తుంది.
• హ్యాక్ అయిన తర్వాత తీసుకునే చర్యలలో తరచుగా విండోస్ సిస్టమ్, అప్లికేషన్ మరియు సెక్యూరిటీ ఈవెంట్ లాగ్‌లను క్లియర్ చేయడం, మైక్రోసాఫ్ట్ డిఫెండర్‌ను డిసేబుల్ చేయడం, మరియు పట్టుబడే అవకాశాలను తగ్గించడానికి యాంటీవైరస్ మినహాయింపులను సృష్టించడం వంటివి ఉంటాయి.

ఈ రాన్సమ్‌వేర్, X25519 కీ ఎక్స్ఛేంజ్‌ను XChaCha20 సిమెట్రిక్ ఎన్‌క్రిప్షన్‌తో కలిపి ఒక హైబ్రిడ్ ఎన్‌క్రిప్షన్ నమూనాని ఉపయోగిస్తుంది. స్టోర్మ్-2697గా ఈ యాక్టివిటీ క్లస్టర్‌ను ట్రాక్ చేస్తున్న పరిశోధకులు, ఈ మాల్‌వేర్‌ను గో (Go) భాషలో రాశారని మరియు గార్బుల్ (Garble) ఉపయోగించి అస్పష్టం చేశారని నిర్ధారించారు.

'--spread' పారామీటర్ ద్వారా ఒక ప్రత్యేకంగా ప్రమాదకరమైన సామర్థ్యం ప్రారంభించబడుతుంది, ఇది రాన్సమ్‌వేర్‌ను ఒకే-హోస్ట్ ఎన్‌క్రిప్టర్ నుండి అందుబాటులో ఉన్న నెట్‌వర్క్ సిస్టమ్‌ల అంతటా తనను తాను పంపిణీ చేసుకోగల స్వీయ-వ్యాప్తి వార్మ్‌గా మారుస్తుంది. '--wipe' ఆర్గ్యుమెంట్‌తో అమలు చేసినప్పుడు, ఎన్‌క్రిప్షన్ తర్వాత పునరుద్ధరించదగిన అవశేషాలను తొలగించడానికి ఉద్దేశించిన అదనపు చర్యలను ఈ మాల్వేర్ నిర్వహిస్తుంది.

దోపిడీ వ్యూహాలు మరియు కార్యాచరణ చురుకుదనం

రాన్సమ్‌వేర్ దాడికి మించి, 'ది జెంటిల్‌మెన్' బహుళ మార్గాల ద్వారా దోపిడీ వ్యూహాన్ని అమలు చేస్తుందని ఆధారాలు సూచిస్తున్నాయి. బాధితులు చెల్లింపు అవకాశాలను పెంచేందుకు రూపొందించిన ప్రత్యక్ష ఇమెయిల్ సంభాషణలు మరియు టెలిఫోన్ ఆధారిత ఒత్తిడి ప్రచారాలను కూడా ఎదుర్కోవచ్చు.

ఈ బృందం యొక్క అభివృద్ధి చక్రం అసాధారణంగా అధిక స్థాయి ప్రతిస్పందనను ప్రదర్శిస్తుంది. దీనికి ఒక ముఖ్యమైన ఉదాహరణ ఏప్రిల్ 2026లో జరిగింది, ఆపరేటర్లు ఒక ప్యాచ్‌ను విడుదల చేసిన రోజే ఒక డీక్రిప్టర్ ప్రజలకు అందుబాటులోకి వచ్చింది.

ఎన్‌క్రిప్షన్ అమలు చేయడానికి ముందు, చొరబాట్లు సాధారణంగా రెండు నుండి ఆరు వారాల వరకు గుర్తించబడకుండా ఉంటాయి. VMware ఇన్‌ఫ్రాస్ట్రక్చర్‌ను నిర్వహిస్తున్న సంస్థలు లక్ష్యంగా చేసుకునే ప్రయత్నాలలో ప్రత్యేక దృష్టిగా కనిపిస్తున్నాయి.

అంతర్గత లీకులు సంస్థాగత నిర్మాణాన్ని వెల్లడిస్తున్నాయి

ఆ బృందం ఉపయోగించిన అంతర్గత Rocket.Chat డేటాబేస్ బయటపడటంతో, మే 2026లో ఒక ముఖ్యమైన నిఘా పురోగతి జరిగింది. ఈ లీక్‌లో, నవంబర్ 2025 నుండి ఏప్రిల్ 2026 చివరి వరకు జరిగిన 3,366 సందేశాలు లభించాయి. ఇవి ఆ కార్యకలాపం యొక్క అంతర్గత నిర్మాణం మరియు పనివిధానాలపై విలువైన అవగాహనను అందించాయి.

ఈ సమాచార మార్పిడి, సభ్యుల మధ్య బాధ్యతల స్పష్టమైన విభజనను వెల్లడించడంతో పాటు, VMware Aria Operations, Fortinet, Cisco, మరియు Microsoft సాంకేతికతలను ప్రభావితం చేసే బలహీనతల వినియోగాన్ని కూడా నమోదు చేసింది. ఈ రికార్డులు, దాడి కార్యకలాపాలలోని వివిధ దశలకు మద్దతు ఇచ్చే ప్రత్యేక పాత్రలతో కూడిన ఒక సువ్యవస్థితమైన నేర సంస్థను చిత్రీకరించాయి.

లీకైన సమాచారం, CVE-2024-55591, CVE-2025-32433, మరియు CVE-2025-33073తో సహా, కొత్తగా వెలుగులోకి వస్తున్న బలహీనతలపై చురుకైన పర్యవేక్షణ మరియు మూల్యాంకనం జరుగుతున్నట్లు కూడా వెల్లడించింది. ఈ ఎక్స్‌ప్లాయిట్‌లను బ్యాకప్-సిస్టమ్ దుర్వినియోగం, మేనేజ్‌మెంట్-కంట్రోలర్ కాంప్రమైజ్, మరియు NTLM రిలే టెక్నిక్‌లతో కూడిన అదనపు దాడి మార్గాలతో కలిపి, అత్యంత సౌకర్యవంతమైన ఎక్స్‌ప్లాయిటేషన్ ఫ్రేమ్‌వర్క్‌ను సృష్టించారు.

పూర్తి ఆపరేటర్ టూల్ కిట్ యొక్క బహిర్గతం

2026 మార్చిలో, సైబర్‌ సెక్యూరిటీ పరిశోధకులు ప్రోటాన్66 బుల్లెట్‌ప్రూఫ్ హోస్టింగ్ సర్వీస్‌లో హోస్ట్ చేయబడిన ఒక బహిర్గతమైన డైరెక్టరీని గుర్తించారు. ఆ డైరెక్టరీలో 'ది జెంటిల్‌మెన్ RaaS' అనుబంధ సంస్థకు చెందిన 126 ఫైళ్లు ఉన్నాయి, ఇవి ఒక పూర్తి ర్యాన్సమ్‌వేర్ ఆపరేటర్ టూల్‌కిట్‌ను సమర్థవంతంగా బహిర్గతం చేశాయి.

బయటపడిన టూల్‌కిట్ దాడి జీవితచక్రంలోని దాదాపు ప్రతి దశను కవర్ చేసింది:

• నిఘా మరియు బాధితుల ప్రొఫైలింగ్

టూల్‌కిట్ యొక్క విస్తృతి, ఈ వ్యవస్థ యొక్క కార్యాచరణ పరిపక్వతను స్పష్టం చేయడంతో పాటు, అనుబంధ సంస్థలకు అందుబాటులో ఉన్న వనరుల గురించి ఒక అరుదైన అవగాహనను అందించింది.

బ్రాండ్ వెనుక ఉన్న ముప్పు

లార్వా-368 కనీసం 2020 నుండి దోపిడీ-కేంద్రీకృత సైబర్ నేర కార్యకలాపాలలో పాలుపంచుకుంటోంది. బహుళ రాన్సమ్‌వేర్ కార్యకలాపాలతో సహకారాల ద్వారా పొందిన అనుభవం, 'ది జెంటిల్‌మెన్'ను ఒక ముఖ్యమైన స్వతంత్ర RaaS సంస్థగా స్థాపించడానికి మరియు విస్తరించడానికి అవసరమైన సాంకేతిక నైపుణ్యం, కార్యాచరణ పరిజ్ఞానం మరియు నేరపూరిత నెట్‌వర్క్‌ను అందించినట్లు కనిపిస్తోంది.

ఈ ఆపరేషన్ యొక్క సాంకేతిక నైపుణ్యం, అనుబంధ సంస్థలపై దృష్టి సారించిన వ్యాపార పద్ధతులు, వేగవంతమైన అభివృద్ధి దశలు మరియు తీవ్రమైన దోపిడీ వ్యూహాల కలయిక, ప్రపంచవ్యాప్తంగా ప్రస్తుతం సంస్థలు ఎదుర్కొంటున్న అత్యంత ప్రముఖ ర్యాన్సమ్‌వేర్ ముప్పులలో 'ది జెంటిల్‌మెన్'కు స్థానం కల్పించింది.