Gentlemen Ransomware: взлом FortiGate, EDR и утечки данных

Группа вымогателей Gentlemen Ransomware, появившаяся в сентябре 2025 года, за считаные месяцы превратилась в заметного игрока в киберпреступной среде. К маю 2026 года ее атаки затронули более 420 жертв, а майская утечка 2026 года позволила заглянуть в операционные процессы группы, ее инструменты и реальные технические ограничения.

Анализ артефактов показывает, что деятельность Gentlemen Ransomware строится вокруг эксплуатации уязвимых FortiGate-устройств. Злоумышленники брутфорсят web admin panels, используя часто применяемые учетные данные, после чего извлекают конфигурационные данные и через LDAP-интеграцию получают учетные данные администратора домена. Для сохранения постоянного присутствия в сетях жертв группа также активно использует SSL-VPN tunnels.

Как работает первоначальный доступ

Ключевым звеном в их схеме остается доступ через FortiGate. Судя по утеченным данным, операторы не полагаются на сложные уникальные эксплойты, а используют более прямолинейный и массовый подход:

• брутфорс web admin panels;
• использование часто применяемых учетных данных;
• извлечение configuration data после получения доступа;
• получение domain administrator credentials через LDAP integration;
• закрепление в инфраструктуре жертв через SSL-VPN tunnels.

Такой подход указывает на ставку не на изощренные proprietary tools, а на адаптацию широко доступных средств под конкретные задачи атаки.

Elundini и внутренняя кухня вымогателей

Одной из наиболее заметных целей в материалах утечки фигурирует Elundini. Именно там, согласно журналам и переписке, участники группы вели длительные обсуждения тактик, включая reconnaissance, lateral movement и стратегии deployment ransomware.

Эти фрагменты демонстрируют, что успешное продвижение внутри сетей давалось группе не всегда. В отчетных материалах заметны обсуждения трудностей, с которыми сталкивались операторы на разных этапах атаки, включая поиск нужных узлов, перемещение внутри корпоративной среды и подготовку к шифрованию.

Технические проблемы во время шифрования

Утечка показывает, что внедрение ransomware сопровождалось значительными операционными сбоями. Особые сложности возникали при попытках массового шифрования и при работе с крупными NAS-системами.

Среди зафиксированных проблем:

• ошибки configuration routes VPN;
• сбои, связанные с EDR, включая ESET;
• неполное шифрование файлов на больших NAS-хранилищах;
• host crashes во время массового шифрования;
• постоянное противодействие со стороны EDR detection;
• сложности при real-time network scanning в защищенных внутренних сегментах.

Иными словами, даже при наличии доступа группа регулярно сталкивалась с техническими барьерами, которые мешали довести атаку до ожидаемого результата. Это особенно заметно в случаях, где защитные системы и особенности инфраструктуры жертвы срывали автоматизированное развертывание вредоносного ПО.

Инфраструктура для подготовки и exfiltration

Утеченные артефакты также раскрыли инфраструктуру, которую Gentlemen Ransomware использовала для подготовки и exfiltration данных. В центре этой схемы находилась кастомная Synology NAS system, применявшаяся как для хранения, так и для массовой выгрузки украденной информации.

Подтверждено, что на этой NAS-системе работали инструменты MEGAcmd и rclone, что позволяло группе автоматизировать крупные объемы загрузки данных. Такой набор инструментов указывает на прагматичный подход: злоумышленники не создавали уникальную экосистему, а использовали известные утилиты для быстрой и эффективной эксфильтрации.

IP-адреса, командная работа и география

Логи свидетельствуют о том, что операторы группы использовали разные IP-адреса, многие из которых были связаны с Россией. Это может указывать как на несколько соединений и распределенный характер работы, так и на возможное использование общих ресурсов.

Отдельно в материалах прослеживаются командные указания, отдававшиеся на этапах вымогательства. Они подчеркивают сфокусированную и достаточно практичную методологию: группа не демонстрирует зависимость от редких инструментов, а последовательно выстраивает атаки на базе доступных решений и оперативной адаптации под конкретную цель.

Что дает этот анализ

Картина, которая складывается из артефактов Gentlemen Ransomware, показывает не только способы проникновения и шифрования, но и слабые стороны самой группы. Утечка помогает понять ее стиль коммуникации, технические ограничения и зависимость от стандартных инструментов.

Для специалистов по кибербезопасности такие данные представляют практическую ценность. Они позволяют точнее выстраивать defensive strategies против типовых сценариев атаки, в том числе:

• усиление защиты FortiGate и контроль за попытками брутфорса;
• мониторинг аномальной активности LDAP и VPN;
• проверка EDR-настроек и реакции на lateral movement;
• контроль использования rclone и MEGAcmd в корпоративной сети;
• ограничение доступа к NAS-системам и сегментация сети.

В совокупности утечка показывает, что Gentlemen Ransomware опирается на понятную, но опасную комбинацию: массовый первоначальный доступ, эксплуатацию слабых мест в сетевой архитектуре и попытки быстро вывести данные. При этом группа регулярно сталкивается с срывами на этапе шифрования и эксфильтрации, что дает защитникам дополнительные возможности для обнаружения и нейтрализации атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.