Програма-вимагач «Джентльмени»
Розслідування операції «Джентльмени» показують, що фінансово мотивована група зловмисників спочатку функціонувала як афілійована особа, яка здійснювала подвійні атаки з метою вимагання, використовуючи інфраструктуру та ресурси, що надаються кількома екосистемами програм-вимагачів як послуга (RaaS), включаючи LockBit, Qilin та Medusa.
Операцію відстежують кілька дослідників під ніком Phantom Mantis, а очолює її російськомовний кіберзлочинець під іменем LARVA-368. Цю особу пов'язують з кількома онлайн-псевдонімами, зокрема hastalamuerte, ArmCorp, zeta88, nobody0 та santamuerte. Група, яка діє з березня 2025 року, публічно взяла на себе відповідальність за 478 жертв.
Зміст
Поява групи загроз
Значна трансформація відбулася в липні 2025 року, коли Phantom Mantis перетворилася на The Gentlemen, незалежну партнерську програму, яка більше не залежить від зовнішніх операторів RaaS. Перехід супроводжувався широким використанням штучного інтелекту для підтримки розробки програм-вимагачів, обслуговування інструментів та діяльності після експлуатації.
Оцінки розвідки загроз показують, що LARVA-368 раніше діяла в складі групи вимагачів Embargo, перш ніж запустити окрему операцію під брендом ArmCorp. Чотири місяці по тому операцію було перейменовано на The Gentlemen.
Час цього переходу був тісно пов'язаний із публічною суперечкою між LARVA-368 та програмою-вимагачем Qilin. Зловмисник звинуватив Qilin у проведенні шахрайства з метою виходу з системи та утриманні приблизно 48 000 доларів США прибутку.
Щоб посилити свою присутність на ринку підпільних спільнот, Phantom Mantis інвестувала в преміум-членство на кіберзлочинних форумах. Функції комунікації та технічної підтримки значною мірою здійснює окрема російськомовна особа, відома як The Gentlemen Data.
Зріла та швидкозростаюча екосистема програм-вимагачів
Дослідники з безпеки характеризують The Gentlemen як високоадаптивну та швидко розвиваючуся операцію з вимагання, яка поєднує традиційні методи вимагання із сучасними можливостями RaaS. Її операційна модель включає подвійне вимагання, кросплатформні варіанти програм-вимагачів, гнучкі механізми поширення та широку підтримку партнерів.
Ця група швидко стала одним із найактивніших учасників розповсюдження програм-вимагачів у сфері загроз, на її частку припадає приблизно 10% усієї спостережуваної активності програм-вимагачів протягом квітня 2026 року. Кампанії атак зазвичай розвивають ланцюг вторгнень, орієнтований на підприємства, який починається через вразливі інтернет-сервіси або скомпрометовані облікові дані.
Аналіз також показує, що оператори можуть динамічно змінювати тактику під час вторгнень. Діяльність включала маніпулювання об'єктами групової політики (GPO), компрометацію привілейованих облікових записів та розгортання спеціалізованих методів, розроблених для обходу засобів контролю безпеки кінцевих точок.
Розподіл жертв вказує на переважно міжнародну спрямованість. Лише близько 13% відомих жертв знаходяться у Сполучених Штатах, тоді як найвища концентрація жертв спостерігається у Таїланді, Великій Британії, Бразилії, Німеччині та Індії.
Підтримка партнерів та кримінальні бізнес-операції
The Gentlemen підтримує структуровану партнерську екосистему, що підтримується безпосередньо LARVA-368. Виділені облікові записи на платформі IM The Gentlemen надають допомогу в процесах шифрування та вирішенні проблем, пов'язаних із вторгненням, включаючи доступ до інструментів обходу EDR, які використовують методи «Принеси свій власний вразливий драйвер» (BYOVD).
Служби підтримки як для The Gentlemen, так і для The Gentlemen Data доступні через платформи обміну повідомленнями Tox, SimpleX Chat та Ricochet Refresh. Потенційні партнери повинні надіслати щонайменше 1 ГБ викрадених даних жертв, перш ніж отримати доступ до партнерського порталу. Ця вимога, очевидно, має на меті запобігти проникненню дослідників та правоохоронних органів на платформу, видаючи себе за партнерів.
Портал управління партнерами дозволяє адмініструвати користувачів, налаштовувати цільові програми та керувати розгортанням програм-вимагачів. Щоб залучити учасників, компанія просуває агресивну структуру розподілу доходів, яка розподіляє 90% прибутку між партнерами та 10% – операторами.
Технічна інфраструктура та методологія атаки
Група пропонує п'ять варіантів програм-вимагачів, розроблених для атаки на системи Windows, Linux, ESXi, Windows XP та пізніші версії, а також на середовища, що використовують диспетчер логічних томів (LVM). Початкові операції доступу зазвичай зосереджені на інфраструктурі, вихідній в Інтернет, такій як VPN-пристрої, брандмауери та периферійні пристрої.
Життєвий цикл вторгнення включає широкий арсенал наступальних інструментів і методів:
- Такі утиліти «червоної команди», як NetExec, RelayKing, TaskHound, PrivHound та CertiHound, використовуються для розвідки Active Directory, зловживання сертифікатами, підвищення привілеїв та виявлення спільних мережевих ресурсів. Додаткові інструменти, включаючи EDRStartupHinder, gfreeze, glinker та DumpBrowserSecrets, сприяють ухиленню від захисту та крадіжці облікових даних, тоді як Velociraptor підтримує дії командування та управління.
- Дії після компрометації часто включають очищення журналів системних, програмних та безпекових подій Windows, вимкнення Microsoft Defender та створення виключень антивіруса для зменшення можливостей виявлення.
Програма-вимагач використовує гібридну модель шифрування, що поєднує обмін ключами X25519 із симетричним шифруванням XChaCha20. Дослідники, які відстежували кластер активності під час Storm-2697, визначили, що шкідливе програмне забезпечення написано мовою Go та обфускується за допомогою Garble.
Особливо небезпечна можливість реалізується за допомогою параметра «--spread», який перетворює програму-вимагач з шифрувальника на одному хості на саморозповсюджувального черв'яка, здатного поширюватися по доступних мережевих системах. При виконанні з аргументом «--wipe» шкідливе програмне забезпечення виконує додаткові дії, спрямовані на видалення відновлюваних артефактів після шифрування.
Тактика вимагання та оперативна гнучкість
Докази свідчать про те, що «Джентльмени» використовують багатоканальну стратегію вимагання, яка виходить за рамки розгортання програм-вимагачів. Жертви також можуть зіткнутися з прямим спілкуванням електронною поштою та телефонними кампаніями тиску, спрямованими на збільшення ймовірності оплати.
Цикл розробки групи демонструє надзвичайно високий рівень оперативності. Один з яскравих прикладів стався у квітні 2026 року, коли оператори випустили патч у той самий день, коли дешифратор став загальнодоступним.
Зазвичай вторгнення залишаються непоміченими протягом періодів від двох до шести тижнів, перш ніж буде виконано шифрування. Організації, що експлуатують інфраструктуру VMware, здається, є особливо об’єктом атак.
Внутрішні витоки розкривають організаційну структуру
Значний прорив у розвідувальній сфері стався у травні 2026 року після викриття внутрішньої бази даних Rocket.Chat, яку використовувала група. Витік містив 3366 повідомлень, якими обмінялися між листопадом 2025 року та кінцем квітня 2026 року, що надало цінну інформацію про внутрішню структуру та робочі процеси операції.
У повідомленнях було виявлено чіткий розподіл обов'язків між членами та задокументовано використання вразливостей, що впливають на технології VMware Aria Operations, Fortinet, Cisco та Microsoft. Записи відображали добре організовану злочинну організацію зі спеціалізованими ролями, що підтримували різні фази операцій атаки.
Витік інформації також показав активний моніторинг та оцінку нових вразливостей, включаючи CVE-2024-55591, CVE-2025-32433 та CVE-2025-33073. Ці експлойти поєднувалися з додатковими шляхами атаки, що включали зловживання системою резервного копіювання, компрометацію контролера управління та методи ретрансляції NTLM, створюючи дуже гнучку систему експлуатації.
Ознайомлення з повним набором інструментів оператора
У березні 2026 року дослідники з кібербезпеки виявили вразливий каталог, розміщений на надійному хостинговому сервісі Proton66. Каталог містив 126 файлів, що належать афілійованій особі The Gentlemen RaaS, і фактично викрив повний набір інструментів оператора програми-вимагача.
Витік інструментарію охоплював майже кожен етап життєвого циклу атаки:
- Розвідка та профілювання жертви
- Ескалація привілеїв
- Ухилення від оборони
- Крадіжка облікових даних
- Бічний рух
- Механізми стійкості
- Підготовчі дії перед шифруванням
Широкий спектр інструментів підкреслив операційну зрілість екосистеми та надав рідкісний погляд на ресурси, доступні афілійованим особам.
Загроза, що стоїть за брендом
LARVA-368 займалася кіберзлочинною діяльністю, спрямованою на вимагання, щонайменше з 2020 року. Досвід, отриманий завдяки співпраці з кількома операціями з боротьби з програмами-вимагачами, схоже, забезпечив технічну експертизу, оперативні знання та злочинну мережу, необхідні для створення та масштабування The Gentlemen у значну незалежну RaaS-компанію.
Поєднання технічної складності, орієнтованої на партнерів бізнес-практики, швидких циклів розробки та агресивної тактики вимагання поставило The Gentlemen серед найвідоміших загроз програм-вимагачів, з якими зараз стикаються організації по всьому світу.
