The Gentlemen: новая RaaS-угроза с 580 жертвами в 77 странах
The Gentlemen (также отслеживается как Storm-2697) — это Ransomware-as-a-Service (RaaS), действующая как минимум с июля 2025 года. Ранняя активность группы связана с работой в качестве affiliate программы Qilin RaaS под псевдонимом ArmCorp. Переход к собственной RaaS-модели произошел примерно в сентябре 2025 года, и с тех пор операторы демонстрируют способность адаптировать шифровальщики под различные операционные системы, усиливая охват и воздействие.
От Qilin Affiliate к самостоятельной RaaS-империи
Первоначально операторы действовали под именем ArmCorp, выступая affiliate известной группировки Qilin. Однако уже к сентябрю 2025 года они запустили собственный партнерский проект The Gentlemen, что позволило взять под полный контроль жизненный цикл атак и привлечь новых игроков. Утечка внутренней базы данных, предположительно организованная insider, раскрыла детали организационной структуры и операционных методологий группировки, подтвердив ее зрелость и амбиции.
Тактический арсенал: от perimeter до GentleKiller
Тактики The Gentlemen повторяют лучшие практики современной киберпреступности, но с акцентом на уклонение от средств защиты. Среди векторов первоначального проникновения используются:
- эксплуатация vulnerabilities в perimeter devices, включая firewalls и VPN;
- bruteforce-атаки на доступные сервисы;
- приобретение leaked или stolen credentials;
- сотрудничество с Initial Access Brokers (IAB).
Наиболее заметным дополнением арсенала стал GentleKiller — custom backdoor, написанный на Go, и сопутствующий framework, целенаправленно разработанный для нарушения работы систем Endpoint Detection and Response (EDR). Этот инструмент значительно повышает способность группировки избегать обнаружения на критически важных этапах атаки.
Экспансия через партнерства и глобальный размах
В мае 2026 года The Gentlemen объявили о партнерстве с площадкой BreachForums от HasanBroker. Инициатива направлена на рекрутинг affiliates, pentesters и IAB для дальнейшего масштабирования операций. По состоянию на июль 2026 года группировка заявила о приблизительно 580 victims в 77 странах, что означает резкое расширение географии по сравнению с 2025 годом. Из этих инцидентов 103 пришлись на manufacturing sector — отрасль, которую особенно часто атакуют из-за критической зависимости от непрерывности производственных процессов.
Темпы роста тревожны: при сравнении второй половины 2025 года и первой половины 2026 года число жертв увеличилось более чем в шесть раз. Это особенно показательно, учитывая, что в первом полугодии 2025 года группировка еще не существовала в текущем виде.
Экономическая модель угрозы: 90% выкупа — affiliates
Одним из ключевых драйверов стремительного расширения служит привлекательная структура выплат. Партнерам предлагается 90% от полученного ransom, что значительно превышает среднеотраслевые показатели и активно привлекает новых affiliates. Подобная щедрость в сочетании с собственными инструментами, такими как GentleKiller, вывела The Gentlemen на позицию второй по активности RaaS-операции в 2026 году.
Эксперты подчеркивают, что сочетание агрессивной вербовки, технологических инноваций и беспрецедентного роста числа жертв превращает The Gentlemen в одну из наиболее серьезных угроз для корпоративных организаций. Сохранение бдительности и усиление защиты периметра, учетных данных и систем обнаружения становятся императивом для специалистов по кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



