Утечка The Gentlemen раскрыла тактики и инфраструктуру RaaS

В мае 2026 года группировка The Gentlemen, действующая по модели Ransomware-as-a-Service (RaaS) и ориентированная на русскоязычную среду, пережила серьезное нарушение безопасности. В результате компрометации у хостинг-провайдера 4VPS злоумышленники получили доступ к внутренней платформе коммуникаций группы, размещенной на Tor-сервере. Утечка раскрыла подробные внутренние сообщения и операционные данные, позволившие восстановить картину их тактик, техник и процедур (TTPs) примерно за шесть месяцев — с ноября 2025 года по апрель 2026 года.

Что именно оказалось в утечке

Утекшие данные дают редкий взгляд на внутреннюю кухню RaaS-операции: структуру группы, методы нацеливания, переговорные стратегии и пул жертв. Хотя на скомпрометированные записи приходится около 16% от общего числа подтвержденных жертв — 66 из более чем 400, — этого оказалось достаточно, чтобы выявить высокопоставленные цели, включая финансовые учреждения и производственные компании по всему миру.

По сути, утечка стала не просто набором переписок, а полноценным срезом операционной модели The Gentlemen: от поиска доступа до закрепления в инфраструктуре жертвы, эксфильтрации данных и подготовки к шифрованию.

Как развивались их тактики

Операционный график группы показывает быстрый рост зрелости их операций. На раннем этапе The Gentlemen опирались на базовую эксплуатацию уязвимостей VPN FortiGate, однако затем перешли к более сложной экосистеме фишинговых кампаний и продвинутых методов управления C2.

• использование уязвимостей обхода аутентификации Fortinet, включая CVE-2024-55591;
• повторное использование учетных данных, в том числе стандартных паролей VPN, привязанных к группам;
• активное применение фишинга, попыток входа и сбора учетных данных;
• интеграция собственного фреймворка G-BOT C2;
• перепрофилирование легитимных инструментов, таких как Velociraptor, в злонамеренных целях.

Первичный доступ и перемещение внутри сети

Основным способом первоначального доступа группа сделала эксплуатацию Fortinet, но на практике не ограничивалась только уязвимостями. The Gentlemen активно использовали учетные данные из скомпрометированных конфигураций Fortigate, которые нередко содержали LDAP credentials в открытом виде. Это обеспечивало несанкционированный доступ к средам Active Directory.

Для lateral movement группировка в основном применяла перечисление и эксплуатацию SMB с помощью инструментов вроде nxc (NetExec). Такой подход позволял расширять контроль над внутренней сетью и быстро продвигаться к более ценным активам.

Отдельного внимания заслуживает использование SOCKS-proxy для сетевого pivoting. Этот элемент был ключевым в их post-exploitation workflow: он помогал скрытно перемещаться внутри инфраструктуры и выводить данные без раскрытия собственной инфраструктуры.

Подготовка к шифрованию и устойчивость в инфраструктуре жертвы

Утекшие сообщения показывают, что развертывание ransomware сопровождалось сложной pre-encryption phase. Перед запуском payload группа использовала scripts для уничтожения резервных копий и закрепления в целевых системах.

Такая последовательность действий указывает на продуманный operational playbook: сначала лишить жертву возможности быстрого восстановления, затем обеспечить устойчивое присутствие, и лишь после этого переходить к шифрованию.

Связи с другими группами и коммерческий подход

The Gentlemen демонстрировали операционную преемственность с предыдущими группами, в частности с Black Basta. Это указывает на пересечение кадров в экосистеме ransomware и подтверждает, что рынок таких операций остается взаимосвязанным.

Еще один важный штрих — использование artificial intelligence для улучшения переговорных процессов. В сочетании с обсуждением высокоценных целей и конкурентным benchmarking против других RaaS-операций это показывает, что группа мыслит не только технически, но и коммерчески.

Их подход сочетает техническую квалификацию, эксплуатационную дисциплину и бизнес-логику, характерную для зрелых ransomware-операций.

Что рекомендовано для защиты

В отчете подчеркивается, что организациям следует отслеживать признаки, связанные именно с операциями The Gentlemen, включая известные C2-endpoints, подозрительные шаблоны сетевого трафика и наличие конкретных file hashes, связанных с их malicious software.

• регулярно обновлять уязвимости, особенно в perimeter-системах;
• усиливать механизмы аутентификации;
• контролировать учетные данные в конфигурациях;
• мониторить признаки SMB exploitation и unusual lateral movement;
• выявлять аномальный use of SOCKS-proxy и suspicious C2 traffic.

В целом утечка The Gentlemen показывает, как быстро эволюционируют современные ransomware-группы: от базовой эксплуатации уязвимостей к многоуровневым операциям с собственными инструментами, социальной инженерией и продуманной post-exploitation стратегией. Для defenders это очередное напоминание о том, что своевременное patch management и надежная authentication policy остаются критически важными барьерами против подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.