В начале мая 2026 года в открытый доступ попал архив внутренней переписки одной из самых активных групп-вымогателей последнего времени - The Gentlemen. Утечка произошла после взлома хостинг-провайдера 4VPS, услугами которого пользовались злоумышленники. Данные, включающие 3366 сообщений из 22 комнат Rocket.Chat, а также сотни скриншотов и рабочих файлов, охватывают период с ноября 2025 по апрель 2026 года. Они позволяют в деталях рассмотреть, как устроен современный RaaS-бизнес (модель "вымогательство как услуга"), какие инструменты используют операторы и как они взаимодействуют друг с другом.
Описание
Группа The Gentlemen появилась летом 2025 года. Судя по анализу утечки, её костяк составляют бывшие участники более известного коллектива Black Basta, который прекратил активную деятельность в начале 2025 года после ареста одного из лидеров Олега Нефёдова (известного под псевдонимами Devman и Tramp). Внутренние чаты содержат прямые ссылки на общую с Black Basta инфраструктуру - операторы The Gentlemen использовали скриншоты из Matrix-сервера bestflowers247.online, который ранее принадлежал Black Basta. Кроме того, в переписке обсуждаются цели, доставшиеся "в наследство" от Devman, и упоминается ник Tinker, фигурировавший в утечках Conti и Black Basta. Это указывает на прямую преемственность кадров и методик.
Основным вектором атак для The Gentlemen служат уязвимые VPN-шлюзы Fortinet. В чатах зафиксировано 98 уникальных IP-адресов устройств FortiGate с указанием моделей, версий прошивок и географического расположения. Злоумышленники активно эксплуатируют уязвимость CVE-2024-55591, позволяющую обойти аутентификацию. Получив доступ, они извлекают конфигурационные файлы, содержащие учётные данные LDAP в открытом виде. Это даёт им возможность подключаться к Active Directory жертвы, не взламывая отдельные компьютеры. Далее следует сканирование сети с помощью NetExec (преемника CrackMapExec), кража учётных записей через инструменты вроде XenAllPasswordPro и Mimikatz, вертикальное перемещение по сети и, наконец, развёртывание программы-вымогателя.
В утечке также впервые детально описан собственный центр управления (C2) группы под названием G-BOT. Эта панель позволяет управлять заражёнными хостами, запускать команды, использовать SOCKS5-прокси для скрытого доступа к внутренним сетям жертв и даже загружать полезную нагрузку на временные файловые хостинги. Помимо G-BOT, операторы применяют легитимный инструмент для криминалистики Velociraptor, перенастроив его для сбора данных и поддержания доступа.
Особого внимания заслуживает использование технологий искусственного интеллекта. В чатах есть прямые указания на то, что операторы применяют коммерческие языковые модели (GPT, Claude) для составления текстов переговоров с жертвами на английском языке. Более того, они делятся ссылками на "аблятированные" (лишённые цензуры) модели вроде Qwen и обсуждают аренду GPU на платформе vast.ai для анализа похищенных данных. Пока AI не заменяет ручные операции взлома, но существенно ускоряет вторичные процессы - перевод, переписку, сортировку украденных файлов.
Масштаб деятельности группы впечатляет. По данным сервиса RansomLook, за 2025-2026 годы The Gentlemen заявили о более чем 400 жертвах. Внутренняя переписка подтверждает 66 организаций, из которых только 8 ранее фигурировали в публичных списках утечек. Среди пострадавших - коммерческий банк в Ираке, финансовая группа на Маврикии, производитель цемента в Персидском заливе, испанский производитель керамики, азиатская инвестиционная компания (у неё похищено 1,5 ТБ данных) и даже южноафриканский муниципалитет, который до этого уже был атакован группировкой LockBit5. География охватывает более 30 стран.
Финансовые аспекты тоже хорошо задокументированы. В одном из диалогов администратор группы под ником zeta88 переводит аффилированному лицу Kunder около 1400 долларов в биткоинах за разработку инструментов - это относительно скромная операционная выплата. В другом разговоре zeta88 хвастается, что за свою жизнь "провёл через обменники около 800 биткоинов" (что эквивалентно примерно 80 миллионам долларов по текущему курсу). Правда, такие цифры могут быть преувеличением: операторы вымогателей склонны приукрашивать свою репутацию. Тем не менее, в утечке присутствуют реальные биткоин-адреса, использовавшиеся для расчётов, включая адрес самого zeta88 - 17U3tN7hzwYwwya8qkyZgnG9jy3unHG7xL.
Стандартная схема выкупа включала три компонента: расшифровка данных (65-80 тысяч долларов), удаление опубликованных данных с сайта утечки и с серверов (95-120 тысяч) и "отчёт о безопасности" (25 тысяч). Полный пакет стоил от 100 до 225 тысяч. В ходе переговоров с одной из жертв, компанией с выручкой 163 миллиона долларов, операторы снизили цену до 190 тысяч, угрожая публикацией данных. Они даже знали о предыдущей выплате жертвы другой группировке в размере 100 тысяч долларов.
Анализ временной активности участников позволил оценить их географию. Четверо из девяти операторов работают в часовом поясе UTC+2…+4 (Москва и соседние регионы). Один участник (mAst3r) по косвенным признакам находится в часовом поясе UTC+7…+8 (Средняя Азия, Юго-Восточная Азия). Ещё один (quant) активен в утренние часы UTC+5…+9, что указывает на Центральную или Южную Азию. Двуязычная переписка - на русском языке, с использованием AI-переводчика Reverso для общения с англоязычными жертвами.
Реакция самой группы на утечку была демонстративно спокойной. В официальном заявлении на форуме T1erone они подтвердили, что Rocket.Chat скомпрометирован, но утверждали, что панель управления, блог и сами "замки" (lockers) не пострадали. Они объявили о модернизации инфраструктуры, включая новую систему связи на базе Rust и улучшения кода вымогателя. Характерная фраза из заявления: "собаки лают, а караван идёт".
Отчёт Ransom-ISAC стал результатом коллективной работы десятков аналитиков и организаций. Он содержит не только детальный разбор утечки, но и практические рекомендации для защиты: немедленное обновление FortiOS, смена локальных паролей и учётных записей LDAP, мониторинг нестандартных SOCKS-соединений и аномального использования NetExec, а также блокировка по хешам и индикаторам, приведённым в документе.
Для сообщества информационной безопасности эта утечка - редкая возможность заглянуть в "кухню" современной RaaS-операции. Она подтверждает, что профессиональные вымогатели активно инвестируют в собственные инструменты, используют искусственный интеллект для масштабирования и имеют прочные связи с предшествующими группировками. The Gentlemen остаются активными, и их методы будут копироваться другими. Знание этих методов - лучшая защита.
Индикаторы компрометации
IPv4
- 91.245.35.22
Emails
- nasbull@proton.me
MD5
- bdfae4ff271414df8db7bfd255cf603e
SHA1
- fe06486c3f74b317d7ec5cc9be8915c34a07a68f
SHA256
- 91017846dd71fbbfcd40f116aca8d4c66f51583cb26fa9a54de0e1f08c9cd40f
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | rule TheGentlemen_Locker_Linux { meta: description = "Detects TheGentlemen Linux/NAS locker binary strings" author = "Ransom-ISAC" date = "2026-05-13" reference = "TheGentlemen Leak Analysis Report" strings: $note1 = "README-GENTLEMEN" ascii wide $ext1 = ".i8p14s" ascii wide $path1 = "/opt/updateamd" ascii wide $pid1 = "gbot_root.pid" ascii wide $flag1 = "--ultrafast" ascii $flag2 = "--keep" ascii condition: uint32(0) == 0x464c457f and (any of ($note*, $ext*) or ($path1 and any of ($flag*)) or $pid1) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | rule TheGentlemen_RansomNote_Content { meta: description = "Detects TheGentlemen ransom note by content strings" author = "Ransom-ISAC" date = "2026-05-13" reference = "TheGentlemen Leak Analysis Report" tlp = "TLP:AMBER" strings: $brand1 = "THE GENTLEMEN" ascii wide nocase $brand2 = "README-GENTLEMEN" ascii wide $tox_group = "F8E24C7F5B12CD69C44C73F438F65E9BF560ADF35EBBDF92CF9A9B84079F8F04060FF98D098E" ascii $onion_dls = "tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad" ascii $ext = ".i8p14s" ascii wide $wallet1 = "1CgfAohwbTSYsyxPvphdcrcfSd1XE5C8Rr" ascii condition: 2 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | rule TheGentlemen_GBOT_C2 { meta: description = "Detects G-BOT custom C2 framework artifacts" author = "Ransom-ISAC" date = "2026-05-13" strings: $panel = "G-BOT Control Panel" ascii wide $pid = "gbot_root.pid" ascii wide $pid_path = "/var/run/gbot_root.pid" ascii wide $socks_30001 = "30001" ascii $socks_30002 = "30002" ascii condition: any of ($panel, $pid, $pid_path) or (2 of ($socks_*) and filesize < 10MB) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | rule TheGentlemen_NSS_DLL_Sideload { meta: description = "Detects Mozilla NSS DLL sideloading set used for browser credential theft" author = "Ransom-ISAC" date = "2026-05-13" severity = "high" strings: $dll1 = "freebl3.dll" ascii wide $dll2 = "mozglue.dll" ascii wide $dll3 = "nss3.dll" ascii wide $dll4 = "softokn3.dll" ascii wide $dll5 = "nspr4.dll" ascii wide $dll6 = "plc4.dll" ascii wide $dll7 = "plds4.dll" ascii wide $tool1 = "XenAllPasswordPro" ascii wide $tool2 = "XenAllPasswords" ascii wide condition: (4 of ($dll*)) or any of ($tool*) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | rule TheGentlemen_AV_Masquerade_DLLs { meta: description = "Detects DLLs masquerading as game anti-cheat or AV products" author = "Ransom-ISAC" date = "2026-05-13" severity = "critical" strings: $ea = "EAAntiCheat1.exe.dll" ascii wide $val = "Valorant.exe.dll" ascii wide $soph = "Sophos.exe.dll" ascii wide $avast = "Avast.exe.dll" ascii wide condition: uint16(0) == 0x5A4D and any of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | rule TheGentlemen_PreEncryption_Linux { meta: description = "Detects pre-encryption bash script patterns" author = "Ransom-ISAC" date = "2026-05-13" severity = "critical" strings: $docker = "docker stop $(docker ps -q)" ascii $qemu1 = "pkill -9 qemu" ascii $qemu2 = "pkill -9 -f \"qemu-system\"" ascii $mysql = "grep -iE 'mysql|maria'" ascii $locker_flag1 = "--ultrafast" ascii $locker_flag2 = "--keep" ascii $locker_path = "/opt/updateamd" ascii $locker_pass = "--password" ascii condition: 2 of ($docker, $qemu1, $qemu2, $mysql) or ($locker_path and any of ($locker_flag*, $locker_pass)) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | rule TheGentlemen_SetupGps2 { meta: description = "Detects SetupGps2.exe payload (1/9 AV detection rate)" author = "Ransom-ISAC" date = "2026-05-13" hash_md5 = "bdfae4ff271414df8db7bfd255cf603e" hash_sha1 = "fe06486c3f74b317d7ec5cc9be8915c34a07a68f" hash_sha256 = "91017846dd71fbbfcd40f116aca8d4c66f51583cb26fa9a54de0e1f08c9cd40f" severity = "critical" strings: $name = "SetupGps2" ascii wide condition: uint16(0) == 0x5A4D and (filesize > 5000000 and filesize < 6000000 and $name) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | rule TheGentlemen_FOBOS_Toolkit { meta: description = "Detects FOBOS initial access loader toolkit artifacts" author = "Ransom-ISAC" date = "2026-05-13" strings: $fobos = "FOBOSLOADER" ascii wide $campaigns = "CAMPAIGNS+" ascii wide $clearfix = "CLEARFIX" ascii wide $htmlsmug = "HTMLSMUG" ascii wide $smuggler = "BobTheSmuggler" ascii wide $phemedrone = "Phemedrone" ascii wide condition: 2 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | rule TheGentlemen_Infra_IOCs { meta: description = "Detects TheGentlemen infrastructure IOCs in config/log files" author = "Ransom-ISAC" date = "2026-05-13" strings: $onion_rc = "xcsqtdobtmdhsjkyjz6iydfowh7bps5dd3a2xg53oirylnohednc4syd" ascii $onion_dls = "tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad" ascii $onion_proxy = "nsocks4pvtcewb2ora3zk47ksx7dvazbxyhzp4myhegpthgkphpi7aad" ascii $socks_ip = "91.245.35.22" ascii $tox_group = "F8E24C7F5B12CD69C44C73F438F65E9BF560ADF35EBBDF92CF9A9B84079F8F04060FF98D098E" ascii $tox_leaker = "7862AE03A73AAC2994A61DF1F635347F2D1731A77CACC155594C6B681D201F7AD6817AD3AB0A" ascii $email1 = "nasbull@proton.me" ascii $btc1 = "1CgfAohwbTSYsyxPvphdcrcfSd1XE5C8Rr" ascii $btc2 = "bc1qgl29fwvpaky7vr94qwufeq56d00l5h60fe7utx" ascii $vpn_pass1 = "gentlemen25" ascii nocase $vpn_pass2 = "gentle26" ascii condition: any of them } |
