The Gentlemen Ransomware

Sa pamamagitan ng Mezo sa Ransomware, Advanced Persistent Threat (APT)

Isalin To:

Isiniwalat ng mga imbestigasyon sa operasyon ng The Gentlemen na ang grupong may motibasyon sa pananalapi ay orihinal na gumana bilang isang kaakibat na nagsasagawa ng mga double-extortion attack habang ginagamit ang imprastraktura at mga mapagkukunang ibinibigay ng maraming Ransomware-as-a-Service (RaaS) ecosystem, kabilang ang LockBit, Qilin, at Medusa.

Ang operasyon ay sinusubaybayan ng ilang mananaliksik sa ilalim ng pangalang Phantom Mantis at pinamumunuan ng isang cybercriminal na nagsasalita ng Ruso na kinilala bilang LARVA-368. Ang indibidwal na ito ay iniuugnay sa maraming online alias, kabilang ang hastalamuerte, ArmCorp, zeta88, nobody0, at santamuerte. Aktibo mula noong Marso 2025, ang grupo ay hayagang inangkin ang responsibilidad para sa 478 na biktima.

Talaan ng mga Nilalaman

Paglitaw ng Grupong Nagbabanta

Isang malaking pagbabago ang naganap noong Hulyo 2025 nang ang Phantom Mantis ay umunlad at naging The Gentlemen, isang independiyenteng programa ng pakikipagsosyo na hindi na umaasa sa mga panlabas na operator ng RaaS. Ang transisyon ay sinamahan ng malawakang paggamit ng artificial intelligence upang suportahan ang pagbuo ng ransomware, pagpapanatili ng tool, at mga aktibidad pagkatapos ng pagsasamantala.

Ipinapahiwatig ng mga pagtatasa ng threat intelligence na ang LARVA-368 ay dating nag-operate sa loob ng Embargo ransomware group bago naglunsad ng hiwalay na operasyon sa ilalim ng tatak na ArmCorp. Pagkalipas ng apat na buwan, ang operasyon ay binago ang tatak bilang The Gentlemen.

Ang panahon ng transisyong ito ay malapit na naaayon sa isang pampublikong hindi pagkakaunawaan sa pagitan ng LARVA-368 at ng operasyon ng Qilin ransomware. Inakusahan ng aktor ng pagbabanta ang Qilin ng pagsasagawa ng isang exit scam at pagpigil ng humigit-kumulang $48,000 na kita.

Upang palakasin ang presensya sa merkado sa loob ng mga underground na komunidad, namuhunan ang Phantom Mantis sa mga premium membership sa mga cybercriminal forum. Ang mga tungkulin sa komunikasyon at teknikal na suporta ay higit na pinamamahalaan ng isang hiwalay na persona na nagsasalita ng Ruso na kilala bilang The Gentlemen Data.

Isang Matanda at Mabilis na Lumalagong Ransomware Ecosystem

Kinikilala ng mga mananaliksik sa seguridad ang The Gentlemen bilang isang lubos na umaangkop at mabilis na umuunlad na operasyon ng ransomware na pinagsasama ang mga tradisyonal na pamamaraan ng ransomware at mga modernong kakayahan ng RaaS. Ang modelo ng operasyon nito ay kinabibilangan ng double extortion, mga cross-platform na variant ng ransomware, mga flexible na mekanismo ng pagpapalaganap, at malawak na suporta sa kaakibat.

Mabilis na umusbong ang grupo bilang isa sa mga pinakaaktibong aktor ng ransomware sa larangan ng banta, na bumubuo sa humigit-kumulang 10% ng lahat ng naobserbahang aktibidad ng ransomware noong Abril 2026. Ang mga kampanya ng pag-atake ay karaniwang sumusunod sa isang kadena ng panghihimasok na nakatuon sa negosyo na nagsisimula sa mga mahihinang serbisyong nakaharap sa internet o mga nakompromisong kredensyal.

Ipinahihiwatig pa ng pagsusuri na maaaring pabago-bagong baguhin ng mga operator ang mga taktika sa panahon ng mga panghihimasok. Kasama sa mga aktibidad ang pagmamanipula sa mga Group Policy Object (GPO), pagkompromiso sa mga privileged account, at pag-deploy ng mga customized na pamamaraan na idinisenyo upang maiwasan ang mga kontrol sa seguridad ng endpoint.

Ang distribusyon ng mga biktima ay nagpapahiwatig ng pangunahing internasyonal na pokus. Humigit-kumulang 13% lamang ng mga kilalang biktima ang matatagpuan sa Estados Unidos, habang ang pinakamataas na konsentrasyon ng mga biktima ay naobserbahan sa Thailand, United Kingdom, Brazil, Germany, at India.

Suporta sa Kaakibat at Mga Operasyon sa Negosyong Kriminal

Ang The Gentlemen ay nagpapanatili ng isang nakabalangkas na affiliate ecosystem na direktang sinusuportahan ng LARVA-368. Ang mga nakalaang account sa platform ng The Gentlemen IM ay nagbibigay ng tulong para sa mga proseso ng pag-encrypt at mga hamong nauugnay sa panghihimasok, kabilang ang pag-access sa mga tool sa pag-bypass ng EDR na gumagamit ng mga pamamaraan ng Bring Your Own Vulnerable Driver (BYOVD).

Ang mga serbisyo ng suporta para sa parehong The Gentlemen at The Gentlemen Data ay makukuha sa pamamagitan ng mga platform ng pagmemensahe na Tox, SimpleX Chat, at Ricochet Refresh. Ang mga prospective affiliate ay dapat magsumite ng kahit man lang 1 GB ng ninakaw na data ng biktima bago makakuha ng access sa affiliate portal. Ang kinakailangang ito ay tila nilayon upang maiwasan ang mga mananaliksik at mga ahensya ng pagpapatupad ng batas na makapasok sa platform sa pamamagitan ng pagpapanggap bilang mga affiliate.

Ang portal ng pamamahala ng kaakibat ay nagbibigay-daan sa pangangasiwa ng gumagamit, pagsasaayos ng target, at pamamahala ng pag-deploy ng ransomware. Upang makaakit ng mga kalahok, itinataguyod ng operasyon ang isang agresibong istruktura ng pagbabahagi ng kita na naglalaan ng 90% ng kita sa mga kaakibat at 10% sa mga operator.

Teknikal na Imprastraktura at Metodolohiya ng Pag-atake

Ang grupo ay nagbibigay ng limang variant ng ransomware na idinisenyo upang i-target ang Windows, Linux, ESXi, Windows XP at mga mas bagong sistema, pati na rin ang mga kapaligirang gumagamit ng Logical Volume Manager (LVM). Ang mga paunang operasyon ng pag-access ay karaniwang nakatuon sa imprastraktura na nakaharap sa internet tulad ng mga VPN appliances, firewalls, at edge devices.

Ang siklo ng buhay ng panghihimasok ay nagsasama ng isang malawak na arsenal ng mga nakakasakit na kagamitan at pamamaraan:

Ang mga red-team utilities tulad ng NetExec, RelayKing, TaskHound, PrivHound, at CertiHound ay ginagamit para sa Active Directory reconnaissance, certificate abuse, privilege escalation, at network-share discovery. Ang mga karagdagang tool kabilang ang EDRStartupHinder, gfreeze, glinker, at DumpBrowserSecrets ay nagpapadali sa pag-iwas sa depensa at pagnanakaw ng kredensyal, habang sinusuportahan naman ng Velociraptor ang mga aktibidad na command-and-control.
Kadalasang kinabibilangan ng mga aksyon pagkatapos ng kompromiso ang pag-clear ng Windows System, Application, at Security Event Logs, pag-disable sa Microsoft Defender, at paglikha ng mga antivirus exclusion upang mabawasan ang mga pagkakataon sa pag-detect.

Gumagamit ang ransomware ng hybrid encryption model na pinagsasama ang X25519 key exchange at XChaCha20 symmetric encryption. Sinusubaybayan ng mga mananaliksik ang activity cluster bilang Storm-2697 at natukoy na ang malware ay nakasulat sa Go at na-obfuscate gamit ang Garble.

Isang partikular na mapanganib na kakayahan ang pinapagana sa pamamagitan ng parameter na '--spread', na nagko-convert sa ransomware mula sa isang single-host encryptor patungo sa isang self-propagating worm na may kakayahang ipamahagi ang sarili nito sa mga maaabot na sistema ng network. Kapag isinagawa gamit ang argumentong '--wipe', ang malware ay nagsasagawa ng mga karagdagang aksyon na nilayon upang alisin ang mga mababawi na artifact pagkatapos ng pag-encrypt.

Mga Taktika ng Pangingikil at Liksi sa Operasyon

May mga ebidensiya na nagmumungkahi na ang The Gentlemen ay nagpapatakbo ng isang multi-channel na estratehiya ng pangingikil na higit pa sa pag-deploy ng ransomware. Maaari ring harapin ng mga biktima ang mga direktang komunikasyon sa email at mga kampanya ng presyur batay sa telepono na idinisenyo upang mapataas ang posibilidad ng pagbabayad.

Ang siklo ng pag-unlad ng grupo ay nagpapakita ng hindi pangkaraniwang mataas na antas ng pagtugon. Isang kapansin-pansing halimbawa ang naganap noong Abril 2026 nang maglabas ang mga operator ng isang patch sa parehong araw na naging available sa publiko ang isang decryptor.

Karaniwang nananatiling hindi natutuklasan ang mga panghihimasok sa loob ng mga panahong mula dalawa hanggang anim na linggo bago isagawa ang pag-encrypt. Ang mga organisasyong nagpapatakbo ng imprastraktura ng VMware ang tila partikular na pinagtutuunan ng pansin ng mga pagsisikap sa pag-target.

Ibinubunyag ng mga Panloob na Paglabas ang Istruktura ng Organisasyon

Isang mahalagang tagumpay sa paniktik ang naganap noong Mayo 2026 kasunod ng pagkalantad ng isang panloob na database ng Rocket.Chat na ginamit ng grupo. Ang leak ay naglalaman ng 3,366 na mensaheng ipinagpalit sa pagitan ng Nobyembre 2025 at huling bahagi ng Abril 2026, na nagbigay ng mahalagang pananaw sa panloob na istruktura at mga daloy ng trabaho ng operasyon.

Ang mga komunikasyon ay nagsiwalat ng isang malinaw na paghahati ng mga responsibilidad sa mga miyembro at naidokumento ang paggamit ng mga kahinaan na nakakaapekto sa mga teknolohiya ng VMware Aria Operations, Fortinet, Cisco, at Microsoft. Inilarawan ng mga rekord ang isang mahusay na organisadong kriminal na negosyo na may mga espesyal na tungkulin na sumusuporta sa iba't ibang yugto ng mga operasyon ng pag-atake.

Ang impormasyong lumabas ay nagpakita rin ng aktibong pagsubaybay at pagsusuri ng mga umuusbong na kahinaan, kabilang ang CVE-2024-55591, CVE-2025-32433, at CVE-2025-33073. Ang mga exploit na ito ay pinagsama sa mga karagdagang pathway ng pag-atake na kinasasangkutan ng backup-system abuse, management-controller compromise, at mga NTLM relay techniques, na lumikha ng isang lubos na flexible na exploitation framework.

Paglalantad ng Isang Kumpletong Toolkit ng Operator

Noong Marso 2026, natukoy ng mga mananaliksik sa cybersecurity ang isang nakalantad na direktoryo na naka-host sa bulletproof hosting service na Proton66. Ang direktoryo ay naglalaman ng 126 na file na iniuugnay sa isang affiliate ng The Gentlemen RaaS at epektibong nabunyag ang isang kumpletong toolkit para sa operator ng ransomware.

Sakop ng leaked toolkit ang halos bawat yugto ng lifecycle ng pag-atake:

Pagmamasid at pag-profile ng biktima
Pagtaas ng pribilehiyo

Pag-iwas sa depensa

Pagnanakaw ng kredensyal

Paggalaw sa gilid

Mga mekanismo ng pagtitiyaga

Mga aktibidad sa paghahanda para sa pre-encryption

Ang lawak ng toolkit ay nagbigay-diin sa operational maturity ng ecosystem at nagbigay ng pambihirang sulyap sa mga mapagkukunang magagamit ng mga kaakibat.

Ang Banta sa Likod ng Tatak

Ang LARVA-368 ay sangkot sa mga aktibidad na cybercriminal na nakatuon sa pangingikil simula pa noong 2020. Ang karanasang natamo sa pamamagitan ng pakikipagtulungan sa maraming operasyon ng ransomware ay tila nagbigay ng teknikal na kadalubhasaan, kaalaman sa operasyon, at kriminal na network na kinakailangan upang maitatag at mapalawak ang The Gentlemen tungo sa isang mahalagang independiyenteng negosyo ng RaaS.

Ang kombinasyon ng operasyon ng teknikal na sopistikasyon, mga kasanayan sa negosyo na nakatuon sa kaakibat, mabilis na mga siklo ng pag-unlad, at agresibong mga taktika ng pangingikil ay naglagay sa The Gentlemen sa mga pinakakilalang banta ng ransomware na kasalukuyang kinakaharap ng mga organisasyon sa buong mundo.

Ang Payment Processor ng EnigmaSoft na Digital River GmbH na Pag-file para sa Pagkalugi ay Hindi Nakakaapekto sa Proteksyon ng Anti-Malware ng Mga Customer ng SpyHunter

Paghahanap

Baguhin ang Rehiyon

The Gentlemen Ransomware

Paglitaw ng Grupong Nagbabanta

Isang Matanda at Mabilis na Lumalagong Ransomware Ecosystem

Suporta sa Kaakibat at Mga Operasyon sa Negosyong Kriminal

Teknikal na Imprastraktura at Metodolohiya ng Pag-atake

Mga Taktika ng Pangingikil at Liksi sa Operasyon

Ibinubunyag ng mga Panloob na Paglabas ang Istruktura ng Organisasyon

Paglalantad ng Isang Kumpletong Toolkit ng Operator

Ang Banta sa Likod ng Tatak

Magsumite ng Komento

Trending

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Pinaka Nanood

Eporner.com

Fuq.com

XHAMSTER Ransomware