Группа TheGentlemen наращивает темп атак: за два месяца 2026 года жертв стало больше, чем за весь прошлый год

Группа функционирует по модели вымогательство как услуга, что предполагает разделение ролей между разработчиками вредоносного ПО и аффилированными лицами, которые непосредственно проводят атаки. TheGentlemen придерживается стратегии двойного шантажа: данные не только шифруются на серверах жертвы, но и предварительно похищаются. Если выкуп не выплачивается, информация публикуется на специальном сайте в даркнете. Особенностью группы является агрессивный подход с минимальными переговорами, что часто приводит к быстрой публикации украденных данных для усиления давления на организации. С момента первого появления в феврале 2023 года общее число публично объявленных жертв достигло 223.

С географической точки зрения атаки носят глобальный и оппортунистический характер. Наибольшее число инцидентов зафиксировано в США (25), за которыми следуют Таиланд (11) и Бразилия (9). Значительная активность наблюдается также в Индии, Франции, Германии, Великобритании и Турции. Жертвы распределены по всему миру, включая страны Латинской Америки, Ближнего Востока и Азиатско-Тихоокеанского региона, что подтверждает отсутствие у группы чёткой географической привязки. Секторный анализ показывает, что наиболее часто под удар попадают промышленные предприятия (27 жертв), компании технологического сектора (21) и финансовые учреждения (13). Также атакам подвергаются критически важные объекты инфраструктуры: здравоохранение, транспорт, логистика и даже государственный сектор.

С технической стороны атаки TheGentlemen выделяются скоростью и эффективностью, достигаемыми за счёт сочетания уязвимостей в публичном доступе и злоупотребления легитимными инструментами. Первичный доступ часто получают через взлом внешне ориентированных служб, таких как устройства Fortinet FortiGate, или с помощью скомпрометированных учётных данных домена, которые могут быть куплены на теневых форумах. После проникновения в сеть операторы быстро проводят разведку, используя такие инструменты, как Nmap, и переходят к эскалации привилегий. Ключевым элементом является использование уязвимых подписанных драйверов (например, ThrottleBlood.sys) для отключения средств защиты конечных точек (EDR) и антивирусных решений. Для закрепления в системе применяются методы, описанные в матрице MITRE ATT&CK, такие как добавление в автозагрузку через ключи реестра и установка программ удалённого доступа вроде AnyDesk.

Движение по сети осуществляется с помощью стандартных административных протоколов: WMI, PowerShell Remoting, RDP и SMB. Это затрудняет обнаружение, так как трафик выглядит как обычная активность системных администраторов. Данные перед шифрованием похищаются и складываются в промежуточные каталоги, после чего эксфильтрируются по зашифрованным каналам, часто с использованием WinSCP. Финальная стадия - доменное развёртывание вредоносного ПО через общую папку Netlogon с правами администратора домена, что позволяет зашифровать огромное количество систем за короткое время. Само вредоносное ПО, написанное на языке Go для кроссплатформенности (поддерживаются Windows, Linux, ESXi), использует современные криптографические алгоритмы XChaCha20 и Curve25519, делая восстановление данных без ключа дешифрования практически невозможным.

Исследователи, отслеживающие деятельность группировки, отмечают, что основной риск для компаний заключается в скорости и надёжности выполнения атаки. Промежуток между первоначальным взломом и полномасштабным шифрованием может быть крайне коротким. Следовательно, традиционные реакции на инциденты часто запаздывают. Наиболее эффективной стратегией защиты является не попытка остановить уже запущенный процесс шифрования, а превентивное обнаружение и блокировка действий, предшествующих ему. К таковым относятся аномальные попытки эскалации привилегий в Active Directory, массовое отключение служб безопасности, нехарактерное использование легитимных административных инструментов для перемещения по сети и подозрительная активность, связанная с драйверами.

Таким образом, защита от подобных угроз требует комплексного, многоуровневого подхода. Приоритетами должны стать усиление контроля за учётными записями и доступом, включая обязательное многофакторное аутентифицирование для всех привилегированных пользователей, регулярный аудит Active Directory и сегментация сети для ограничения перемещения злоумышленников. Не менее критичны современные системы защиты конечных точек с возможностью обнаружения атак на основе поведения, а также наличие надёжных, изолированных от сети резервных копий данных. TheGentlemen олицетворяет современный тренд, когда киберпреступники делают ставку не на уникальные уязвимости нулевого дня, а на эксплуатацию распространённых ошибок в конфигурации и слабостей в управлении идентификацией, что делает их угрозой для самых разных организаций по всему миру.

SHA256

• 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235
• 4c82fbafef9bab484a2fbe23e4ec8aac06e8e296d6c9e496f4a589f97fd4ab71
• 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2
• 7a311b584497e8133cd85950fec6132904dd5b02388a9feed3f5e057fb891d09