The Gentlemen

The Gentlemen - это высокоорганизованная киберпреступная группировка, функционирующая по модели Ransomware‑as‑a‑Service (RaaS) и специализирующаяся на атаках с двойным вымогательством, когда данные одновременно шифруются и похищаются с угрозой публикации. В отличие от APT‑групп, которые обычно связаны с государственными структурами и нацелены на долгосрочную разведку, The Gentlemen преследуют исключительно финансовую выгоду и действуют как криминальная франшиза, привлекая независимых исполнителей на коммерческой основе.

Другие обозначения: Storm‑2697

Группировка заявила о себе в середине 2025 года, а уже к началу 2026 года вошла в пятёрку самых активных вымогательских операций в мире, заняв второе место по количеству атак и уступая только печально известной Qilin. Её основателем считается оператор с псевдонимом hastalamuerte, ранее участвовавший в программе Qilin, а ядро команды, по оценкам специалистов, состоит из русскоязычных разработчиков. В классификации Microsoft группировка фигурирует под именем Storm‑2697. К середине 2026 года The Gentlemen приписали себе более пятисот успешных атак, затронувших свыше семидесяти стран, причём наибольшая активность наблюдается в Азии, а основные жертвы — это промышленные, строительные, медицинские, страховые и финансовые компании.

Технический арсенал группировки отличается высокой степенью проработанности. Для первоначального проникновения они используют эксплуатацию уязвимостей в сетевых экранах, компрометацию учётных данных или покупку готового доступа у брокеров. Особую известность получил их собственный инструмент GentleKiller, который отключает более четырёхсот процессов, относящихся к продуктам сорока восьми вендоров систем безопасности. Сам шифровальщик написан на языке Go и применяет гибридное шифрование на основе алгоритмов XChaCha20 и Curve25519, причём существуют версии для Windows, Linux, NAS, BSD и ESXi. Для распространения внутри сети используются NETLOGON, PowerShell и PsExec, а для разведки — такие утилиты, как SharpADWS и NetScan. В результате группировка реализует классическую модель двойного вымогательства, одновременно лишая жертву доступа к данным и шантажируя их утечкой.

Организационно The Gentlemen построены вокруг небольшого сплочённого ядра из примерно девяти ключевых операторов, которые координируют работу множества аффилированных лиц — непосредственных исполнителей атак. Аффилиатам предлагается рекордно высокая доля от выкупа, достигающая девяноста трёх процентов, что стимулирует быстрый рост числа инцидентов и привлекает новых партнёров. Как и многие русскоязычные группировки, The Gentlemen декларируют политику невмешательства в страны бывшего Советского Союза, хотя на практике это правило может соблюдаться нестрого.

Таким образом, The Gentlemen - это не APT, а яркий пример современной киберкриминальной экосистемы, где технологическая сложность сочетается с агрессивным маркетингом и продуманной бизнес‑моделью. Их стремительный взлёт демонстрирует, что на первый план в вымогательском бизнесе выходят не столько уникальные технические инновации, сколько умение выстраивать масштабируемые партнёрские сети и мотивировать исполнителей. Для защиты от подобных угроз организациям необходим комплексный подход: регулярное обновление защитного ПО, тщательный аудит учётных записей, сегментация сети и отработанный план реагирования на инциденты.