The Gentlemen: бывшие партнёры Qilin построили вторую по масштабу RaaS-империю 2026 года

ransomware

К 2026 году ландшафт киберугроз для предприятий кардинально изменился из-за стремительного возвышения группировки The Gentlemen. Эта программа-вымогатель как услуга (RaaS) отслеживается под кодовыми именами Storm-2697 в Microsoft Threat Intelligence и LARVA-368 у других вендоров. С момента появления в середине 2025 года синдикат, движимый финансовой выгодой, наращивал масштабы быстрее любого известного ранее ransomware-объединения. Группа заявила о более чем 400 публично перечисленных жертвах в 70 странах, однако внутренние данные свидетельствуют о том, что реальное число скомпрометированных организаций превышает 1570. Иными словами, примерно 71-78% пострадавших заплатили выкуп, и их имена никогда не появлялись на сайтах утечек.

Описание

The Gentlemen отличается использованием собственных кроссплатформенных блокировщиков, написанных на Go и C, агрессивными механизмами самораспространения и надёжными методами обхода современных систем обнаружения на конечных точках. В сентябре 2025 года разработчики превратили платформу в активно действующую RaaS-сеть. А в мае 2026 года их возможности резко расширились благодаря официальному партнёрству с известным киберпреступным форумом BreachForums.

Происхождение группировки типично для подполья: внутренние споры о выплатах часто порождают агрессивные ответвления. До создания собственного бренда ключевые разработчики действовали как элитная аффилированная команда ArmCorp в составе синдиката Qilin. Перелом наступил 22 июля 2025 года, когда лидер ArmCorp под псевдонимом hastalamuerte публично обвинил операторов Qilin в удержании 48 тысяч долларов комиссии после выплаты выкупа в 200 тысяч. При этом, как заявил hastalamuerte, логи переговоров в Tox были удалены. Уже 17 июля 2025 года - за пять дней до конфликта - один из первых скомпилированных бинарных файлов The Gentlemen был загружен на VirusTotal с URL собственного сайта утечек. Инфраструктура оказалась готова до публичного разрыва.

К началу сентября 2025 года группа полностью запустила свой портал. 12 сентября реклама на подпольных форумах предлагала аффилиатам модель с 90% дохода, оставляя лишь 10% на обслуживание инфраструктуры. Атаки резко участились в начале 2026 года. К февралю синдикат отчитался о 130 жертвах, к апрелю - о 320, а затем превысил 400 заявок в 70 странах. По объёму The Gentlemen стала второй самой активной ransomware-группой мира, уступая лишь Qilin и опережая Cl0p, RansomHub и LockBit.

В апреле 2026 года эксперты обнаружили на скомпрометированном C2-сервере SystemBC (используемом для управления ботами) записи о 1570 пострадавших организациях. Это в четыре раза превышало данные публичного сайта утечек. Разница объясняется молчаливыми выплатами: компании заплатили и не попали в списки. C2-сервер размещался по адресу 45.86.230.112, устанавливал SOCKS5-туннели и использовал собственный протокол с шифрованием RC4. География заражённых систем охватывала США, Великобританию и Германию.

Сайт утечек The Gentlemen - главный инструмент вымогательства. Каждая запись о жертве включает название компании, отрасль, объём данных и таймер обратного отсчёта до публикации. Те, кто отказывается платить, видят свои данные выложенными полностью. Группа последовательно выполняет угрозы, а также публикует сообщения об атаках в соцсетях для дополнительного давления.

Методика вторжения отработана до автоматизма. Начальный доступ чаще всего получают через эксплуатацию уязвимости CVE-2024-55591 в межсетевых экранах Fortinet, позволяющей неаутентифицированному злоумышленнику выполнять команды администратора. Второй вектор - повторное использование учётных данных из логов инфостилеров, полученных оператором Quant. После проникновения атакующие изучают сеть с помощью встроенных средств Windows и сканеров Nmap. Для повышения привилегий применяют PowerRun.exe для обхода UAC, устанавливают AnyDesk со статическим паролем и развёртывают SystemBC или Cobalt Strike для постоянного удалённого доступа.

Перед шифрованием злоумышленники отключают защиту. Они загружают подписанный уязвимый драйвер ThrottleBlood.sys для завершения процессов антивирусов и EDR, отключают Microsoft Defender через PowerShell, очищают журналы событий, удаляют данные Prefetch и логи RDP. Затем в административные общие папки записывается исполняемый файл блокировщика, который распространяется через групповые политики. Само шифрование использует гибридную схему: для каждого файла генерируется уникальная пара ключей X25519, файл шифруется алгоритмом XChaCha20 с частичным покрытием (от 0,3% до 9% содержимого в зависимости от режима). При этом имена файлов могут не меняться, что затрудняет обнаружение.

Однако в реализации найдена критическая уязвимость класса CWE-244: среда выполнения Go не очищает криптографические ключи в куче после использования. Если до завершения процесса ransomware удаётся снять дамп памяти - с помощью EDR, аварийных дампов Windows или полного захвата ОЗУ, - можно извлечь все эфемерные ключи и расшифровать файлы без уплаты выкупа. Это делает защиту на основе дампов критически важной для организаций в секторах-целях.

Группа нацелена на предприятия с развитой инфраструктурой. В топе наиболее поражённых отраслей - производство (87 жертв), технологии (55), бизнес-услуги (47), здравоохранение (37) и финансовые услуги (30). При этом The Gentlemen не проявляет сдержанности в отношении больниц. Страны СНГ и Россия из кампаний исключены. По странам лидируют США с 62 подтверждёнными жертвами.

Партнёрство с BreachForums, объявленное 16 мая 2026 года, знаменует эволюцию подпольного рынка. Форум перестал быть пассивной доской объявлений и стал операционным хабом: аффилиаты могут зарегистрироваться, получить ключи доступа к панели RaaS и выбрать модель дохода. Стандартная схема с шифрованием даёт 90% аффилиату, а схема только с кражей данных - 97%. Это привлекает брокеров начального доступа и новичков, снижая порог входа.

The Gentlemen представляет собой симптом зрелости экосистемы программ-вымогателей. Внутренние конфликты, утечки баз данных, использование готовых драйверов для отключения защиты - всё это указывает на профессионализацию угрозы. Для защиты бизнеса требуется не только своевременное обновление периметрового оборудования и многофакторная аутентификация, но и возможности захвата памяти при детектировании аномалий. Успех группы показывает, что RaaS-модель продолжит порождать новых агрессивных игроков, а партнёрства с форумами сделают такие атаки ещё более доступными.

Индикаторы компрометации

URLs

  • http://tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion/

Emails

  • negotiation_hapvida@proton.me

Tox ID

  • 88984846080D639C9A4EC394E53BA616D550B2B3AD691942EA2CCD33AA5B9340FD1A8FF40E9A

MD5

  • 4200b46a93c6ab059e2b34ce200c4a5b

SHA1

  • 42bcc743c71a9ea083c1c750a398110582796762

SHA256

  • 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235

YARA

 

Комментарии: 0