Di Balik Kebocoran The Gentlemen: Cara Geng Ransomware Baru Berkembang Pesat di 2026

Pertumbuhan ini terlihat jelas dalam statistik kuartalan. Pada Q1 2026, kelompok ini mempublikasikan 179 korban, melonjak 588% dibandingkan Q4 2025 yang hanya mencatat 26 korban.

Cara kerja model bisnis RaaS

Seperti banyak geng ransomware modern, The Gentlemen beroperasi menggunakan model ransomware‑as‑a‑service. Dalam model ini, pengembang inti membuat malware dan infrastruktur, sementara operator eksternal—disebut afiliasi—melakukan peretasan dan menyebarkan ransomware.

Database backend yang bocor memperlihatkan akun‑akun internal yang digunakan untuk mengelola panel RaaS. Infrastruktur tersebut dilaporkan dikelola oleh operator inti dengan nama “zeta88” (alias “hastalamuerte”).

Dalam ekosistem ini:

• Operator inti mengelola pembuat ransomware, panel kontrol, dan sistem pembayaran.
• Afiliasi melakukan intrusi jaringan, mencuri data, dan menjalankan ransomware.
• Uang tebusan dibagi antara afiliasi dan operator platform.

Pembagian peran ini memungkinkan kelompok berkembang cepat tanpa harus memiliki tim inti yang besar.

Fokus pada perangkat jaringan yang terpapar internet

Salah satu temuan paling penting dari kebocoran ini adalah ketergantungan kelompok pada perangkat jaringan di tepi jaringan (edge infrastructure) sebagai titik masuk awal.

Para peneliti mengaitkan serangan mereka dengan eksploitasi perangkat seperti firewall, gateway VPN, dan sistem manajemen jaringan—terutama yang langsung terhubung ke internet.

Salah satu kerentanan utama yang sering dikaitkan dengan operasi mereka adalah CVE‑2024‑55591, celah kritis pada FortiOS dan FortiProxy yang memungkinkan penyerang melewati autentikasi. Kerentanan ini dapat memberi penyerang jarak jauh hak super‑administrator melalui permintaan yang dimanipulasi.

Dengan menyerang perangkat jaringan di perimeter perusahaan, pelaku dapat melewati banyak kontrol keamanan tradisional yang biasanya melindungi endpoint seperti laptop atau server.

Inventaris besar perangkat FortiGate yang sudah diretas

Laporan intelijen ancaman juga mengungkap skala infrastruktur akses yang dikelola kelompok ini.

Penyelidik menemukan bukti bahwa operasi tersebut melacak sekitar 14.700 perangkat FortiGate yang sudah berhasil dieksploitasi di seluruh dunia, bersama dengan ratusan kredensial VPN yang telah divalidasi yang terkait dengan sistem tersebut.

Inventaris seperti ini berfungsi sebagai "pipeline" untuk serangan berikutnya. Setelah akses diperoleh ke perangkat perimeter, penyerang dapat bergerak lebih dalam ke jaringan tanpa memicu pertahanan yang biasanya mendeteksi phishing atau malware.

Apa yang diungkap oleh percakapan internal

Walau datanya tidak lengkap, log percakapan internal memberikan gambaran tentang bagaimana kelompok ini mengoordinasikan serangan dan mengelola kampanye ransomware.

Beberapa kanal obrolan internal menunjukkan diskusi mengenai:

• pemilihan target dan organisasi korban
• pengelolaan infrastruktur serangan
• aktivitas para afiliasi
• koordinasi sebelum mengumumkan korban secara publik

Para peneliti mencatat bahwa percakapan tersebut berasal dari beberapa kanal operasional dan sistem backend, memberikan gambaran tentang timeline dan alur kerja kampanye ransomware.

Pelajaran penting bagi tim keamanan

Selain mengungkap operasi satu kelompok, kebocoran ini menyoroti tren yang lebih luas dalam dunia kejahatan siber: perangkat jaringan di tepi jaringan kini menjadi pintu masuk utama serangan ransomware.

Banyak organisasi berfokus pada perlindungan endpoint, tetapi firewall, gateway VPN, dan sistem manajemen jaringan yang terekspos dapat melewati pertahanan tersebut.

Beberapa prioritas pertahanan yang direkomendasikan meliputi:

• Memperbarui patch perangkat jaringan dengan cepat, terutama untuk kerentanan kritis seperti CVE‑2024‑55591 pada perangkat Fortinet.
• Menutup akses publik ke antarmuka manajemen jika memungkinkan.
• Menggunakan autentikasi multi‑faktor dan segmentasi jaringan untuk akses administratif.
• Memantau log firewall, VPN, dan sistem manajemen jaringan sebagai indikator awal kompromi.

Jendela terbatas tapi berharga

Database yang bocor tidak mengungkap seluruh struktur organisasi The Gentlemen. Para peneliti menekankan bahwa materi tersebut hanya memberikan cuplikan sebagian dari aktivitas internal, bukan gambaran lengkap dari ekosistem ransomware mereka.

Meski demikian, kebocoran ini memberi pandangan langka tentang bagaimana program ransomware‑as‑a‑service modern beroperasi—dan bagaimana operasi tersebut dapat berkembang sangat cepat ketika afiliasi, otomatisasi, dan perangkat jaringan yang rentan bertemu.

Bagi organisasi, pesan utamanya jelas: keamanan pada perangkat yang terhubung langsung ke internet kini menjadi garis pertahanan paling kritis dalam era ransomware.