Киберпреступность Утечка данных «Джентльмены» снова облажались. Хакеры-вымогатели, державшие в страхе сотни компаний, сами стали жертвой утечки

Tortugo

Tortugo

Perceptible
Local User
Регистрация
23.03.26
Сообщения
24
Реакции
19
Депозит
0.014
За фасадом громких взломов обнаружилась рутина, которую никто из участников не хотел показывать.


8t2cv2vpsc006udh8910ij3lix21mle2.jpg


Группировка The Gentlemen, которую недавно называли одним из самых активных вымогательских проектов 2026 года, Для просмотра ссылки Войди или Зарегистрируйся. В открытый доступ попали внутренние переписки, где видна повседневная работа вымогателей: выбор целей, подготовка атак, управление инфраструктурой и попытки скрыться от защитных систем.


Первые сообщения о взломе The Gentlemen появились 4 мая на форуме Breached. Неизвестный пользователь сначала выставил украденные данные на продажу за $10 000 в биткоинах, а затем опубликовал ссылку на MediaFire, где архив стал доступен бесплатно.


По данным главы направления анализа угроз DynaRisk Миливоя Раича, утечка включает около 8200 строк из внутреннего чата, изображения заражённых систем и временные метки, которые в основном совпадают с московским рабочим графиком. Материалы показывают, как группа обсуждала VPN-доступы, OpenConnect, инструменты командного управления, доставку вредоносной нагрузки, отключение EDR-средств и повышение привилегий до администратора домена в Active Directory.


Из переписок следует, что атаки часто начинались с украденных учётных данных для сетевого оборудования Fortinet. Для удалённого управления скомпрометированными системами участники The Gentlemen регулярно использовали открытый репозиторий ZeroPulse на GitHub. Перед шифрованием злоумышленники изучали сеть, искали серверы виртуализации, резервные копии, NAS-хранилища, Exchange-серверы и критически важные узлы, чтобы усилить давление на жертву и усложнить восстановление.


В утечке также обнаружили биткоин-адреса для внутренних переводов и покупки оборудования. Переписки указывают, что The Gentlemen взломала компанию, связанную соглашениями о неразглашении с Sony и Barclays. Группа угрожала опубликовать документы, если не получит выкуп.


Отдельный удар по The Gentlemen нанесла Bedrock Safeguard, которая 2 мая Для просмотра ссылки Войди или Зарегистрируйся публичный способ расшифровки файлов без оплаты. Компания не взломала сам алгоритм, а нашла слабость в реализации: временные криптографические ключи могли сохраняться в памяти процесса. В тесте специалисты восстановили 35 из 35 файлов, а поиск ключей занял менее секунды.


The Gentlemen появилась как RaaS-проект в середине 2025 года. К апрелю 2026 года на сайте утечек группировки значилось более 340 организаций, отказавшихся платить. По данным ZeroFox, группа обещала партнёрам до 90% выкупа, а для атак без шифрования повышала долю до 97%. После выхода дешифратора вымогатели быстро обновили вредоносную программу, что показывает, насколько оперативно такие операции реагируют на действия защитников.


Источник: Для просмотра ссылки Войди или Зарегистрируйся
 
Последнее редактирование модератором:
  • Like
Реакции: weaver
weaver

weaver

Make zeroday easy.
Admin
Регистрация
06.10.25
Сообщения
423
Реакции
475
Внутренние чаты показали, как устроена экономика вымогательства без глянца и пафоса.

1779269929770.png

Утечка внутренних чатов The Gentlemen стала редким случаем, когда вымогатели потеряли не только часть инфраструктуры, но и контроль над собственным образом. Материалы изучили Ransom-ISAC, KELA и Check Point Research, и каждый отчёт подсветил свою сторону истории: одни разобрали внутреннюю кухню группы, другие — её место на рынке вымогательства, третьи — партнёров, выкупы и следы отдельных кампаний.

Ransom-ISAC Для просмотра ссылки Войди или Зарегистрируйся утечку как частичную, но очень насыщенную: 22 комнаты Rocket.Chat, 3366 сообщений и 66 подтверждённых жертв за период с ноября 2025 года по конец апреля 2026 года. Команда связывает компрометацию с атакой на хостинг-провайдера 4VPS.SU, после которой The Gentlemen признала утечку части Rocket.Chat, но заявила, что панель управления, блог и шифровальщики якобы не пострадали. В отчёте отдельно выделены собственная C2-платформа G-BOT, активная эксплуатация продуктов Fortinet, применение Velociraptor не по назначению и набор инструментов для кражи данных, перемещения по сети и отключения защитных механизмов.

KELA Для просмотра ссылки Войди или Зарегистрируйся на те же материалы шире — как на историю быстрого роста новой RaaS-платформы. По данным компании, за первые месяцы 2026 года The Gentlemen стала второй по активности группировкой после Qilin и набрала около 10% публично заявленных жертв вымогателей.

KELA также указывает на важную деталь: участники внимательно изучали утечку Black Basta и переносили чужие рабочие схемы в свои операции. Речь шла не только о фишинге, но и о работе с OWA, проверке украденных учётных данных на удалённых сервисах, включая VPN, Citrix, Cisco, Fortinet и RDP, а также о выборе целей по выручке, отрасли и степени возможного ущерба.

Отдельный акцент KELA делает на ИИ. В переписке участники обсуждали Qwen, DeepSeek, Kimi и другие модели для написания кода, поиска технических сведений, подготовки переговоров и анализа украденных массивов данных. В одном эпизоде предлагалось арендовать мощности на Vast.ai, чтобы обработать сотни гигабайт информации жертвы и быстрее найти важные панели управления и пути доступа.

Также KELA отмечает возможное использование взломанных OWA-почтовых ящиков не только для фишинга, но и для давления на жертв через чувствительные, в том числе медицинские, данные.

Check Point Research Для просмотра ссылки Войди или Зарегистрируйся на партнёрской модели и денежных следах. Компания связывает администратора программы с zeta88, также фигурирующим как hastalamuerte, и указывает на схему 90% выкупа партнёрам и 10% оператору. По собранным образцам шифровальщика команда выделила 29 кампаний и 8 уникальных TOX-идентификаторов, включая контакт администратора. Уникальная часть отчёта Check Point Research — разбор реальной сделки: в одном случае The Gentlemen начали переговоры с 250 000 долларов, а в итоге получили 190 000 долларов.

Check Point Research также разобрала эпизод с The Adaptavist Group: по версии компании, данные, похищенные у британской ИТ-компании, затем использовали при атаке на организацию в Турции. Во время переговоров злоумышленники пытались представить британскую фирму источником доступа и использовать возможный конфликт между компаниями как дополнительный рычаг давления.

В сумме три отчёта складываются в портрет быстро выросшей криминальной платформы, которая совмещает партнёрскую модель, заимствованные у конкурентов приёмы, ИИ-инструменты и атаки на уязвимый периметр. Ransom-ISAC показывает внутреннюю механику Для просмотра ссылки Войди или Зарегистрируйся, KELA — масштаб и эволюцию тактик, Check Point Research — кампании, партнёров и финансовую сторону операций.

Главный вывод из этой истории простой: за вывеской «профессиональной» кибергруппировки всё равно стоят люди с обычными слабостями — самоуверенностью, жадностью, конфликтами, ошибками в планировании и привычкой копировать чужие удачные ходы. Чем быстрее такая структура растёт, тем труднее ей сохранять дисциплину и скрывать внутренний хаос за образом хорошо отлаженной машины.

Источник: securitylab.ru
 
  • Like
Реакции: Tortugo
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу