The Gentlemen szivárgás
A Check Point Research részletes elemzése szerint a The Gentlemen jelenleg a világ egyik leggyorsabban növekvő Ransomware-as-a-Service művelete, amely néhány hónap alatt a globális zsarolóvírus-ökoszisztéma meghatározó szereplőjévé vált. A csoport 2025 közepén jelent meg, azonban 2026 első hónapjaiban már több mint 320 nyilvánosan ismert áldozatot követelt, ezzel a második-harmadik legaktívabb ransomware-szereplővé nőtte ki magát. A kutatók szerint a valós fertőzésszám ennél jóval magasabb lehet, mivel a kiszivárogtató oldalakon jellemzően csak azok a szervezetek jelennek meg, amelyek nem fizettek váltságdíjat.
A csoport gyors növekedésének egyik fő oka az agresszív affiliate-modell. Míg a legtöbb RaaS-platform 80/20 arányban osztja meg a bevételt az operátorok és a partnerek között, addig a The Gentlemen 90 százalékos részesedést kínál az affiliate-eknek. Ez rendkívül vonzóvá tette a platformot tapasztalt támadók számára, különösen más, rendvédelmi nyomás alá került csoportokból érkező szereplőknek. A Check Point szerint a csoport alapítója egy korábbi Qilin-affiliate lehetett, aki pénzügyi vita után vált ki a korábbi rendszerből.
Technikai szempontból a The Gentlemen nem egy egyszerű ransomware-család, hanem komplett vállalati támadási platform. A csoport többplatformos titkosító komponenseket biztosít Windows, Linux, NAS, BSD és VMware ESXi környezetekhez. A legtöbb locker Go nyelven készült, míg az ESXi-változat C nyelvet használ. A malware-ek XChaCha20 és Curve25519 alapú titkosítást alkalmaznak, emellett fejlett laterális mozgási és automatizációs funkciókkal rendelkeznek. A támadók képesek Group Policy használatára, PsExec/WMI alapú távoli végrehajtásra, credential reuse technikákra és domain-szintű terítésre is.
A kutatás szerint a The Gentlemen elsődleges belépési pontként internet felé nyitott VPN-eket, tűzfalakat és távoli hozzáférési szolgáltatásokat használ. A kompromittálás után a támadási lánc rendkívül gyors, több esetben néhány órán belül teljes hálózati titkosítást hajtottak végre. A műveletek során gyakran jelenik meg a SystemBC proxy malware is, amely SOCKS5-alagutakat hoz létre a támadók számára. Ez lehetővé teszi a rejtett kommunikációt, a payloadok továbbítását és az infrastruktúra elfedését. A Check Point egy élő C2-szerver elemzése során több mint 1570 fertőzött rendszert azonosított, amelyek jelentős része vállalati környezethez tartozott.
A csoport különösen aktív a gyártóiparban, technológiai szektorban és egyre gyakrabban az egészségügyben is. Ez azért figyelemre méltó, mert több ransomware-csoport informálisan kerüli a kritikus egészségügyi szolgáltatókat, a The Gentlemen azonban láthatóan nem alkalmaz ilyen korlátozásokat. A támadók emellett fejlett defense evasion technikákat is használnak, letiltják a Windows Defendert, módosítják a tűzfalszabályokat, törlik az eseménynaplókat és egyes esetekben egyedi EDR-killer eszközöket is bevetnek.
A Check Point jelenlegi trend már nem az alkalmi, manuális támadások irányába mutat, hanem egy iparszerű, moduláris és erősen automatizált modell felé, ahol a ransomware-szolgáltatók komplett támadási infrastruktúrát, pivot-rendszereket, proxyhálózatokat és többplatformos titkosítócsomagokat biztosítanak affiliate-partnereik számára. A kutatók szerint a csoport sikerének egyik kulcsa a gyors kompromittálás, a professzionális működés és az a képesség, hogy rövid idő alatt képesek teljes vállalati környezeteket megbénítani.
