Пријави инцидент
Пријави инцидент

Ransomware групата The Gentlemen тврди дека има 478 жртви и може да се шири како компјутерски црв

Објавено: 12.06.2026

Нова анализа на операцијата The Gentlemen открива дека финансиски мотивираната група првично дејствувала како афилијат одговорен за спроведување на напади со двојна изнуда (double extortion), користејќи ресурси од различни ransomware-as-a-service (RaaS) платформи како LockBit (позната и како Tenacious Mantis), Qilin (Pestilent Mantis) и Medusa (Venomous Mantis).

Според деталниот извештај објавен од PRODAFT, групата, која компанијата ја следи под името Phantom Mantis, е предводена од руски говорен сајбер-криминалец означен како LARVA-368. Тој користи повеќе онлајн псевдоними, меѓу кои: hastalamuerte, ArmCorp, zeta88, nobody0 и santamuerte.

The Gentlemen е активна од март 2025 година и досега тврди дека компромитирала вкупно 478 жртви, според податоците на Ransomware.Live.

„Во јули 2025 година, Phantom Mantis се трансформираше во The Gentlemen – независна партнерска програма која повеќе не зависи од други RaaS групи“, соопшти швајцарската компанија за сајбер-безбедност PRODAFT.

„Дополнително, LARVA-368 интензивно користи вештачка интелигенција за развој и одржување на ransomware софтверот и придружните алатки, како и за помош во пост-експлоатациските активности.“

Што се однесува до LARVA-368, се смета дека претходно бил член на ransomware групата Embargo (Primeval Mantis), пред да започне сопствена операција под името ArmCorp. Само четири месеци подоцна, операцијата била ребрендирана во The Gentlemen.

Во меѓувреме, идентитетот на ова лице бил откриен од новинарот за сајбер-безбедност Брајан Кребс. Станува збор за 36-годишниот Александар Андреевич Јапаев (Япаев Александр Андреевич) од рускиот град Ижевск. Од PRODAFT за The Hacker News изјавиле дека нивните наоди „со висок степен на сигурност“ се совпаѓаат со истата личност.

Како што објави Dark Atlas во август 2025 година, промената кон независна операција се случила по спор околу исплата меѓу LARVA-368 и групата Qilin. Напаѓачот ја обвинил RaaS платформата дека спровела таканаречена „exit scam“ измама и го оштетила за 48.000 американски долари.

„Иако Phantom Mantis беше многу активна афилијат група со повеќе од 20 регистрирани цели во својот панел за помалку од 30 дена, администраторот на групата (LARVA-368) и LARVA-367 (познат и како DevMan), поранешен член на Phantom Mantis, тврдеа дека Pestilent Mantis ги измамува своите афилијати и дека во панелот за комуникација со жртвите постои наводна ‘задна врата’ (backdoor)“, наведува PRODAFT.

„Иако не успеавме да ги потврдиме овие тврдења, постои можност LARVA-368 и LARVA-367 намерно да ширеле дезинформации со цел да привлечат афилијати на Pestilent Mantis кон Phantom Mantis преку нарушување на угледот на конкурентската група.“

Дополнително е забележано дека Phantom Mantis плаќа за Premium сметки на подземни хакерски форуми со цел да ја зголеми својата видливост и да ја намали конкуренцијата. Комуникацијата со афилијатите и техничката поддршка ја води посебна рускоговоречка личност позната како The Gentlemen Data.

Некои од другите клучни карактеристики на шемата за изнуда, собрани од различни извештаи, се следниве:

  • Во анализа на ransomware софтверот од крајот на минатата година, тимот на Cybereason од LevelBlue го опиша The Gentlemen како „многу адаптивна и брзо еволуирачка ransomware операција“, која комбинира зрели техники за ransomware напади со RaaS функционалности, двојна изнуда, криптирање на повеќе платформи, флексибилно ширење низ мрежи и поддршка за афилијати.
  • Групата прерасна во еден од најактивните актери во светот на ransomware заканите, одговорна за околу 10% од сите ransomware активности во април 2026 година. Според NCC Group, The Gentlemen следи нападна шема насочена кон компании и организации, почнувајќи со почетен пристап преку ранливи интернет-достапни сервиси или украдени акредитиви. Анализите покажуваат дека групата може динамично да ги менува своите тактики за време на нападот, вклучувајќи манипулација со Group Policy Objects (GPO), компромитирање на привилегирани сметки и користење сопствени методи за заобиколување на безбедносните механизми на крајните уреди.
  • Само околу 13% од жртвите се наоѓаат во САД. Најголемиот број погодени организации се лоцирани во Тајланд, Обединетото Кралство, Бразил, Германија и Индија.
  • LARVA-368 ги користи The Gentlemen IM сметките за поддршка на афилијатите во врска со процесот на енкрипција и други аспекти на упадот, вклучително и обезбедување EDR killer алатки за заобиколување на безбедносни решенија преку техниката BYOVD (Bring Your Own Vulnerable Driver).
  • Поддршката за The Gentlemen и The Gentlemen Data е достапна преку платформите Tox, SimpleX Chat и Ricochet Refresh.
  • Потенцијалните афилијати мора да достават најмалку 1 GB украдени податоци од жртва за да добијат пристап до афилијат панелот. Оваа тактика е наменета за спречување на истражувачи и органи на прогонот да се инфилтрираат во инфраструктурата претставувајќи се како афилијати. Панелот овозможува управување со корисници, конфигурирање на нови цели и преземање ransomware примероци за конкретни жртви.
  • Phantom Mantis нуди пет различни верзии на ransomware софтверот, наменети за Windows, Linux, ESXi, Windows XP+ и Logical Volume Manager (LVM) околини.
  • Групата привлекува афилијати со агресивен модел на распределба на профитот: 90% за афилијатот и 10% за операторот.
  • Почетниот пристап најчесто се добива преку периферни мрежни уреди како VPN апарати, firewall системи и други интернет-достапни системи, со особен фокус на Cisco и Fortinet FortiGate платформи.
  • Синџирите на инфекција вклучуваат користење на алатки кои вообичаено ги користат Red Team тимовите, како NetExec, RelayKing, TaskHound, PrivHound и CertiHound, за откривање на Active Directory инфраструктура, злоупотреба на сертификати, ескалација на привилегии и пронаоѓање мрежни споделени ресурси.
  • Дополнителни алатки како EDRStartupHinder, gfreeze, glinker и DumpBrowserSecrets се користат за избегнување на детекција од безбедносни решенија, додека Velociraptor служи за командно-контролна (C2) комуникација.
  • Нападите се обидуваат да ги избришат Windows Event логовите (System, Application и Security), да го оневозможат Microsoft Defender и да додадат исклучоци во антивирусните програми.
  • Ransomware софтверот користи хибридна криптографска шема која комбинира X25519 размена на клучеви и XChaCha20 симетрична енкрипција.
  • Microsoft, кој ја следи групата под ознаката Storm-2697, соопшти дека ransomware кодот е напишан на програмскиот јазик Go и е обфускиран со Garble за напади врз Windows системи.
  • Кога се стартува со аргументот --spread, малициозниот софтвер се претвора од обичен енкриптор на една машина во самораспространувачки компјутерски црв (worm), кој се обидува да го инсталира енкрипторот на секој достапен систем во мрежата.
  • Ако се користи аргументот --wipe, ransomware-то по завршувањето на енкрипцијата извршува дополнителна рутина за бришење на артефакти од дискот што би можеле да помогнат при обновување на податоците.
  • Според ZeroFox, групата најверојатно спроведува повеќеканална стратегија за изнуда која комбинира ransomware напади, контактирање преку е-пошта и телефонски притисок врз жртвите.
  • Групата применува „исклучително брз циклус на развој“, што беше демонстрирано кога објави закрпа истиот ден откако во април 2026 година беше објавен алат за декрипција на нивниот ransomware.
  • Просечното време од иницијалниот пристап до енкрипцијата на системите се движи помеѓу две и шест недели. Групата особено ги таргетира организациите кои користат VMware инфраструктура.

Минатиот месец беше објавено протекување на интерна Rocket.Chat база на податоци што ја користела групата. Базата содржела 3.366 пораки разменети помеѓу ноември 2025 и крајот на април 2026 година. Овие податоци открија дополнителни детали за внатрешното функционирање на групата, вклучувајќи употреба на познати безбедносни ранливости во VMware Aria Operations, Fortinet, Cisco и Microsoft производи, како и јасна поделба на улоги и одговорности меѓу членовите на криминалната организација.

„Групата активно следи и анализира современи безбедносни ранливости, вклучувајќи ги CVE-2024-55591, CVE-2025-32433 и CVE-2025-33073, и ги комбинира со техники како злоупотреба на системи за резервни копии (backup systems), злоупотреба на контролери за управување и NTLM relay напади, што им овозможува флексибилен и разновиден процес на експлоатација“, соопшти Check Point.

Но, тоа не е сè.

Во март 2026 година, Hunt.io откри отворен директориум хостиран на адресата „176.120.22[.]127:80“, кој се наоѓал кај рускиот bulletproof hosting провајдер Proton66. Во него биле јавно достапни 126 датотеки што содржеле комплетен сет на алатки за ransomware оператор, припишани на афилијат на The Gentlemen RaaS програмата.

Меѓу пронајдените алатки имало решенија за:

  • извидување и собирање информации (reconnaissance),
  • ескалација на привилегии,
  • избегнување на безбедносни механизми,
  • кражба на акредитиви,
  • латерално движење низ мрежата,
  • воспоставување трајно присуство (persistence),
  • подготовка на системите пред енкрипција.

Со други зборови, алатките ги покривале практично сите фази од животниот циклус на еден сајбер-упад.

„LARVA-368 е заканувачки актер специјализиран за активности поврзани со изнуда и е активен најмалку од 2020 година“, наведува PRODAFT.

„Експертизата стекната преку претходните соработки со различни RaaS групи ја обезбеди техничката основа потребна за создавање и развој на The Gentlemen RaaS платформата.“

Извори:

  • The Hacker News – The Gentlemen Ransomware Claims 478 Victims, Can Spread Like a Worm The Hacker News