Специалисты подразделения Unit 42 компании Palo Alto Networks выявили несколько вредоносных файлов, которые с высокой вероятностью относятся к новому варианту программы-вымогателя The Gentlemen. Обнаружение произошло в ходе расследования инцидентов, связанных с этой группой, на основе отчёта аналитиков "Лаборатории Касперского", опубликованного ранее. Полученные данные указывают на то, что злоумышленники продолжают развивать своё вредоносное программное обеспечение, несмотря на то, что активных загрузок новых образцов за последние месяцы зафиксировано не было.
Описание
Все найденные файлы представляют собой 64-битные исполняемые файлы для операционной системы Windows (PE64). После запуска они генерируют записку с требованиями выкупа под названием "!-READ-ME---GEN-TLE-MEN-!.txt", которая помещается в каждую просматриваемую директорию. Текст записки расшифровывается в оперативной памяти с помощью алгоритма XOR. В записке содержится угроза публикации похищенных данных на специализированном сайте в анонимной сети Tor. Жертвам предлагается связаться с вымогателями по электронной почте thegentlemen@onionmail[.]org или thegentlemen@2mail[.]co. Дополнительно в тексте упоминается обратный отсчёт продолжительностью 239 часов, по истечении которого, вероятно, последуют негативные последствия.
URL-адрес сайта утечки, указанный в записке (tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad[.]onion), ранее уже связывался с группировкой The Gentlemen. По оценке Unit 42, на момент обнаружения этот вариант вымогателя всё ещё находился в стадии активной разработки. Специалисты не зафиксировали ни одной загрузки подобных файлов в открытых источниках после 2 апреля 2026 года. Тем не менее, охота за дополнительными образцами и индикаторами компрометации продолжается.
Группа The Gentlemen, известная также под обозначением Storm-2697, действует по модели "программа-вымогатель как услуга" (RaaS). Первые публичные упоминания о ней относятся к июлю 2025 года. Согласно открытым источникам, операторы группы ранее были аффилированными лицами другой RaaS-сети - Qilin, которую Unit 42 отслеживает под именем Spikey Scorpius. Однако впоследствии The Gentlemen запустили собственную партнёрскую программу.
Ключевой особенностью модели The Gentlemen является необычно высокий процент отчислений аффилированным лицам. Если традиционные RaaS-программы предлагают своим партнёрам от 70% до 80% от суммы выкупа, то The Gentlemen гарантируют 90%. Такая щедрая мотивация, по мнению экспертов, направлена на привлечение большего числа участников и расширение масштабов атак. Результаты этой стратегии наглядно демонстрирует статистика: по данным сайта ransomware.live, по состоянию на 7 июля 2026 года группировка заявила о 580 жертвах в 77 странах мира с момента своего основания.
Сравнительный анализ Unit 42 показывает резкий скачок активности. При сопоставлении последних шести месяцев 2025 года и первых шести месяцев 2026 года количество жертв, о которых заявили The Gentlemen, увеличилось более чем в шесть раз. Это свидетельствует о высокой эффективности применяемой модели привлечения аффилированных лиц и наращивании темпов атак.
Для организаций по всему миру такая динамика означает рост рисков. The Gentlemen, как и многие другие RaaS-группировки, практикуют двойное вымогательство: шифрование данных дополняется угрозой публикации украденной конфиденциальной информации на сайте утечки. Последствия для компании-жертвы включают не только финансовые потери от выплаты выкупа и простоя, но и репутационный ущерб, а также возможные регуляторные штрафы за утечку персональных данных.
Хотя с апреля 2026 года не зафиксировано новых образцов данного конкретного варианта на языке C, эксперты предупреждают, что операторы The Gentlemen, вероятно, продолжают разработку. Отсутствие публичных загрузок может быть связано с переходом на более скрытые каналы распространения, доработкой кода или сменой тактики. Группа остаётся активной и продолжает наращивать количество успешных атак, что подтверждается статистикой жертв.
Меры защиты, рекомендуемые для организаций, включают регулярное резервное копирование критичных данных с хранением копий в офлайн-режиме, внедрение многофакторной аутентификации для всех внешних и внутренних сервисов, а также постоянный мониторинг сетевого трафика на предмет подозрительной активности. Компаниям стоит обратить особое внимание на защиту от фишинговых атак, поскольку именно они часто служат начальным вектором проникновения вымогателей. Своевременное обновление программного обеспечения и строгие политики контроля доступа к данным позволяют существенно снизить вероятность успешной атаки.
Индикаторы компрометации
Onion Domain
- tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion
- thegentlemen@2mail.co
- thegentlemen@onionmail.org
SHA256
- 086bdbaa9ae8ea7e9f7f22901ea8f06cd5613595fb70f64da63cf78134b21b1d
- 402818dac47dbfd05570b5e741acb76052bb14d61e7e12362560cbcd68cd81fb
- c95f0172563259ffa8cafb687cfecfce7c0255cf3ec6b50fa71c54bef868efaf