К 2026 году ландшафт киберугроз для предприятий кардинально изменился из-за стремительного возвышения группировки The Gentlemen. Эта программа-вымогатель как услуга (RaaS) отслеживается под кодовыми именами Storm-2697 в Microsoft Threat Intelligence и LARVA-368 у других вендоров. С момента появления в середине 2025 года синдикат, движимый финансовой выгодой, наращивал масштабы быстрее любого известного ранее ransomware-объединения. Группа заявила о более чем 400 публично перечисленных жертвах в 70 странах, однако внутренние данные свидетельствуют о том, что реальное число скомпрометированных организаций превышает 1570. Иными словами, примерно 71-78% пострадавших заплатили выкуп, и их имена никогда не появлялись на сайтах утечек.
Описание
The Gentlemen отличается использованием собственных кроссплатформенных блокировщиков, написанных на Go и C, агрессивными механизмами самораспространения и надёжными методами обхода современных систем обнаружения на конечных точках. В сентябре 2025 года разработчики превратили платформу в активно действующую RaaS-сеть. А в мае 2026 года их возможности резко расширились благодаря официальному партнёрству с известным киберпреступным форумом BreachForums.
Происхождение группировки типично для подполья: внутренние споры о выплатах часто порождают агрессивные ответвления. До создания собственного бренда ключевые разработчики действовали как элитная аффилированная команда ArmCorp в составе синдиката Qilin. Перелом наступил 22 июля 2025 года, когда лидер ArmCorp под псевдонимом hastalamuerte публично обвинил операторов Qilin в удержании 48 тысяч долларов комиссии после выплаты выкупа в 200 тысяч. При этом, как заявил hastalamuerte, логи переговоров в Tox были удалены. Уже 17 июля 2025 года - за пять дней до конфликта - один из первых скомпилированных бинарных файлов The Gentlemen был загружен на VirusTotal с URL собственного сайта утечек. Инфраструктура оказалась готова до публичного разрыва.
К началу сентября 2025 года группа полностью запустила свой портал. 12 сентября реклама на подпольных форумах предлагала аффилиатам модель с 90% дохода, оставляя лишь 10% на обслуживание инфраструктуры. Атаки резко участились в начале 2026 года. К февралю синдикат отчитался о 130 жертвах, к апрелю - о 320, а затем превысил 400 заявок в 70 странах. По объёму The Gentlemen стала второй самой активной ransomware-группой мира, уступая лишь Qilin и опережая Cl0p, RansomHub и LockBit.
В апреле 2026 года эксперты обнаружили на скомпрометированном C2-сервере SystemBC (используемом для управления ботами) записи о 1570 пострадавших организациях. Это в четыре раза превышало данные публичного сайта утечек. Разница объясняется молчаливыми выплатами: компании заплатили и не попали в списки. C2-сервер размещался по адресу 45.86.230.112, устанавливал SOCKS5-туннели и использовал собственный протокол с шифрованием RC4. География заражённых систем охватывала США, Великобританию и Германию.
Сайт утечек The Gentlemen - главный инструмент вымогательства. Каждая запись о жертве включает название компании, отрасль, объём данных и таймер обратного отсчёта до публикации. Те, кто отказывается платить, видят свои данные выложенными полностью. Группа последовательно выполняет угрозы, а также публикует сообщения об атаках в соцсетях для дополнительного давления.
Методика вторжения отработана до автоматизма. Начальный доступ чаще всего получают через эксплуатацию уязвимости CVE-2024-55591 в межсетевых экранах Fortinet, позволяющей неаутентифицированному злоумышленнику выполнять команды администратора. Второй вектор - повторное использование учётных данных из логов инфостилеров, полученных оператором Quant. После проникновения атакующие изучают сеть с помощью встроенных средств Windows и сканеров Nmap. Для повышения привилегий применяют PowerRun.exe для обхода UAC, устанавливают AnyDesk со статическим паролем и развёртывают SystemBC или Cobalt Strike для постоянного удалённого доступа.
Перед шифрованием злоумышленники отключают защиту. Они загружают подписанный уязвимый драйвер ThrottleBlood.sys для завершения процессов антивирусов и EDR, отключают Microsoft Defender через PowerShell, очищают журналы событий, удаляют данные Prefetch и логи RDP. Затем в административные общие папки записывается исполняемый файл блокировщика, который распространяется через групповые политики. Само шифрование использует гибридную схему: для каждого файла генерируется уникальная пара ключей X25519, файл шифруется алгоритмом XChaCha20 с частичным покрытием (от 0,3% до 9% содержимого в зависимости от режима). При этом имена файлов могут не меняться, что затрудняет обнаружение.
Однако в реализации найдена критическая уязвимость класса CWE-244: среда выполнения Go не очищает криптографические ключи в куче после использования. Если до завершения процесса ransomware удаётся снять дамп памяти - с помощью EDR, аварийных дампов Windows или полного захвата ОЗУ, - можно извлечь все эфемерные ключи и расшифровать файлы без уплаты выкупа. Это делает защиту на основе дампов критически важной для организаций в секторах-целях.
Группа нацелена на предприятия с развитой инфраструктурой. В топе наиболее поражённых отраслей - производство (87 жертв), технологии (55), бизнес-услуги (47), здравоохранение (37) и финансовые услуги (30). При этом The Gentlemen не проявляет сдержанности в отношении больниц. Страны СНГ и Россия из кампаний исключены. По странам лидируют США с 62 подтверждёнными жертвами.
Партнёрство с BreachForums, объявленное 16 мая 2026 года, знаменует эволюцию подпольного рынка. Форум перестал быть пассивной доской объявлений и стал операционным хабом: аффилиаты могут зарегистрироваться, получить ключи доступа к панели RaaS и выбрать модель дохода. Стандартная схема с шифрованием даёт 90% аффилиату, а схема только с кражей данных - 97%. Это привлекает брокеров начального доступа и новичков, снижая порог входа.
The Gentlemen представляет собой симптом зрелости экосистемы программ-вымогателей. Внутренние конфликты, утечки баз данных, использование готовых драйверов для отключения защиты - всё это указывает на профессионализацию угрозы. Для защиты бизнеса требуется не только своевременное обновление периметрового оборудования и многофакторная аутентификация, но и возможности захвата памяти при детектировании аномалий. Успех группы показывает, что RaaS-модель продолжит порождать новых агрессивных игроков, а партнёрства с форумами сделают такие атаки ещё более доступными.
Индикаторы компрометации
URLs
- http://tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion/
Emails
- negotiation_hapvida@proton.me
Tox ID
- 88984846080D639C9A4EC394E53BA616D550B2B3AD691942EA2CCD33AA5B9340FD1A8FF40E9A
MD5
- 4200b46a93c6ab059e2b34ce200c4a5b
SHA1
- 42bcc743c71a9ea083c1c750a398110582796762
SHA256
- 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | rule Windows_Ransomware_Gentlemen { meta: description = "Gentlemen Go-Based ransomware Yara Rule" author = "Buguard Threat Research" date = "2026-05-25" strings: $s0 = "gentlemen" ascii nocase $s1 = "88984846080D639C9A4EC394E53BA616D550B2B3AD691942EA2CCD33AA5B9340FD1A8FF40E9A" ascii $s2 = "/LEXF8q5iUJHValXwdVTYbEZ3k/c/s2y8uVrFa2AGSI=" ascii $s3 = "tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion" ascii $s4 = "negotiation_hapvida@proton.me" ascii $s5 = "README-GENTLEMEN.txt" ascii $s6 = "gentlemen.bmp" ascii $s7 = "G7Vz9eyG" ascii $s8 = "Cynet Ransom Protection(DON'T DELETE)" ascii $s9 = "Set-MpPreference -DisableRealtimeMonitoring $true" ascii condition: uint16(0) == 0x5A4D and ( ($s0 and $s9) or $s1 or $s2 or $s3 or $s4 or ($s5 and $s6) or ($s7 and $s8 and $s0) ) } |