The Gentlemen: новая RaaS-угроза с 580 жертвами в 77 странах

The Gentlemen (также отслеживается как Storm-2697) — это Ransomware-as-a-Service (RaaS), действующая как минимум с июля 2025 года. Ранняя активность группы связана с работой в качестве affiliate программы Qilin RaaS под псевдонимом ArmCorp. Переход к собственной RaaS-модели произошел примерно в сентябре 2025 года, и с тех пор операторы демонстрируют способность адаптировать шифровальщики под различные операционные системы, усиливая охват и воздействие.

От Qilin Affiliate к самостоятельной RaaS-империи

Первоначально операторы действовали под именем ArmCorp, выступая affiliate известной группировки Qilin. Однако уже к сентябрю 2025 года они запустили собственный партнерский проект The Gentlemen, что позволило взять под полный контроль жизненный цикл атак и привлечь новых игроков. Утечка внутренней базы данных, предположительно организованная insider, раскрыла детали организационной структуры и операционных методологий группировки, подтвердив ее зрелость и амбиции.

Тактический арсенал: от perimeter до GentleKiller

Тактики The Gentlemen повторяют лучшие практики современной киберпреступности, но с акцентом на уклонение от средств защиты. Среди векторов первоначального проникновения используются:

  • эксплуатация vulnerabilities в perimeter devices, включая firewalls и VPN;
  • bruteforce-атаки на доступные сервисы;
  • приобретение leaked или stolen credentials;
  • сотрудничество с Initial Access Brokers (IAB).

Наиболее заметным дополнением арсенала стал GentleKiller — custom backdoor, написанный на Go, и сопутствующий framework, целенаправленно разработанный для нарушения работы систем Endpoint Detection and Response (EDR). Этот инструмент значительно повышает способность группировки избегать обнаружения на критически важных этапах атаки.

Экспансия через партнерства и глобальный размах

В мае 2026 года The Gentlemen объявили о партнерстве с площадкой BreachForums от HasanBroker. Инициатива направлена на рекрутинг affiliates, pentesters и IAB для дальнейшего масштабирования операций. По состоянию на июль 2026 года группировка заявила о приблизительно 580 victims в 77 странах, что означает резкое расширение географии по сравнению с 2025 годом. Из этих инцидентов 103 пришлись на manufacturing sector — отрасль, которую особенно часто атакуют из-за критической зависимости от непрерывности производственных процессов.

Темпы роста тревожны: при сравнении второй половины 2025 года и первой половины 2026 года число жертв увеличилось более чем в шесть раз. Это особенно показательно, учитывая, что в первом полугодии 2025 года группировка еще не существовала в текущем виде.

Экономическая модель угрозы: 90% выкупа — affiliates

Одним из ключевых драйверов стремительного расширения служит привлекательная структура выплат. Партнерам предлагается 90% от полученного ransom, что значительно превышает среднеотраслевые показатели и активно привлекает новых affiliates. Подобная щедрость в сочетании с собственными инструментами, такими как GentleKiller, вывела The Gentlemen на позицию второй по активности RaaS-операции в 2026 году.

Эксперты подчеркивают, что сочетание агрессивной вербовки, технологических инноваций и беспрецедентного роста числа жертв превращает The Gentlemen в одну из наиболее серьезных угроз для корпоративных организаций. Сохранение бдительности и усиление защиты периметра, учетных данных и систем обнаружения становятся императивом для специалистов по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: