В середине мая 2026 года на нескольких форумах даркнета появился массив данных, предположительно принадлежащий группе-вымогателю Gentlemen. Как сообщается в отчёте THE RAVEN FILE, злоумышленники действуют с сентября 2025 года и к настоящему моменту успели атаковать более 420 организаций, что делает их одним из самых быстрорастущих игроков на рынке программ-вымогателей. Сама группа работает по модели RaaS (программа-вымогатель как услуга), предоставляя свою инфраструктуру партнёрам.
Описание
Утечка представлена в виде двух архивов, помеченных как NAS и MEGA. Первый содержит конфигурационные файлы, в том числе теневой файл паролей /etc/shadow с собственного сетевого накопителя Synology, используемого злоумышленниками. Второй - детальные логи сессий облачного хранилища MEGA, через которое происходила выгрузка похищенных данных жертв. Анализ этих материалов позволяет восстановить методы работы, инструментарий и даже примерный состав участников группы.
Главный вектор атаки, который чаще всего фигурирует в переписке участников, - это эксплуатация уязвимых панелей управления FortiGate. Злоумышленники собирают списки доступных устройств через утёкшие HTML-дампы, подбирают учётные данные методом перебора (например, admin/admin123! или root/gentle26) и, получив доступ к веб-интерфейсу, выгружают конфигурацию. Далее через интеграцию с LDAP они быстро получают права администратора домена и настраивают постоянный туннель SSL-VPN. Такой сценарий повторяется десятки раз.
Внутренние чаты показывают, что самой обсуждаемой жертвой стала организация Elundini (ЮАР). На её атаку ушло больше всего времени и ресурсов. Злоумышленники столкнулись с проблемами доверительных отношений между контроллерами домена, блокировкой их вредоносного кода антивирусом ESET и необходимостью вручную запускать шифровальщик на каждом разделе из-за медленной работы рекурсивного режима. В ход шли групповые политики, утилита PsExec для массового развёртывания и собственная разработка под названием locker.exe. Команда запуска выглядит так: locker.exe -password <пароль> -full -ultrafast -keep. Для сканирования сети применялись NetExec и сканер gogo.
Неудачных попыток тоже хватало. Часто VPN-сессии обрывались, а настройки маршрутизации после взлома FortiGate не работали. Некоторые панели управления были уже недоступны или скомпрометированы раньше. Иногда подобранные пароли подходили только для входа в веб-интерфейс, но не для подключения по VPN. Шифровальщик не обрабатывал файлы .avhdx в отказоустойчивых кластерах, потому что они были заблокированы другими узлами. Агенты ESET блокировали полезную нагрузку при развёртывании через групповые политики.
Технический анализ файлов из папки MEGA подтверждает, что для хранения похищенных данных группа использовала российские серверы и облачный сервис MEGA. Среди обнаруженных IP-адресов многократно встречается 178.130.46[.]120, принадлежащий российскому хостинг-провайдеру Global Connectivity Solutions LLP. Он фигурирует в пяти различных сессиях подряд на протяжении нескольких месяцев. Другой адрес, 193.228.128[.]2, использовался для разовой загрузки через утилиту rclone. Также зафиксированы выходные узлы Tor в Нидерландах и Германии. Операционная система на машине злоумышленника - Windows 10 сборки 21H2, а в качестве браузера применялся Firefox 128.0.
Особый интерес представляет архив резервной копии Backup_2025-07-30_033020. Он содержит 14 XML-файлов с резервной копией контроллера домена одной из жертв. Судя по метаданным, это машина TDC1 под управлением Windows Server на платформе AMD64. В резервную копию попали реестр, база данных Active Directory (NTDS), общая папка SYSVOL и журналы производительности. Резервирование прошло успешно. Этот факт доказывает, что злоумышленники не только шифровали файлы, но и выгружали критическую инфраструктуру жертв.
Собственный сетевой накопитель группы работал под управлением Synology. В теневом файле паролей обнаружены учётные записи 15 операторов с хешами SHA-512, что говорит о небольшом, но дисциплинированном коллективе. Среди имён - 3NT3R, B1d3n, C0CA, zeta88 и другие. Один из аккаунтов (guest) использует устаревший хеш MD5, что делает его потенциально уязвимым. Минимальные настройки срока действия паролей для некоторых участников также снижают общую защищённость.
Вся утечка датируется 21 мая 2026 года, последние изменения файлов были внесены именно в этот день. На форумах аноним под ником n789 выложил несколько ссылок, начиная с 5 мая. Сейчас можно с высокой уверенностью утверждать, что группа Gentlemen не использует каких-то секретных технологий. Их инструментарий - общедоступные утилиты вроде NetExec, rclone, PsExec и собственный, довольно примитивный шифровальщик. Однако за счёт настойчивости, автоматизации и грамотного выбора целей (в первую очередь через взлом FortiGate) они сумели войти в число лидеров рынка вымогателей за считанные месяцы.
Индикаторы компрометации
IPv4
- 178.130.46.120
- 192.42.116.104
- 193.228.128.2
- 194.87.31.69
- 89.185.80.134
- 92.39.211.142
IPv6
- 2a03:e600:100::2
- 2a12:a800:2:1:45:138:16:82
