Утечка The Gentlemen: как новая RaaS‑группа стремительно выросла в 2026 году
Утечка внутренних чатов и данных The Gentlemen (ноябрь 2025 — апрель 2026) дала редкое представление о работе быстро растущей ransomware‑as‑a‑service операции. Группа стремительно масштабировалась: в первые пять месяцев 2026 года на ее сайте утечек появилось около 332 жертв, а число атак в Q1 выросло на 588% по срав...
What did the leaked internal database reveal about The Gentlemen ransomware-as-a-service gang’s operations, including its rapid rise in 2026Researchers gained rare insight into The Gentlemen ransomware operation after internal chats and backend data were leaked online.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: What did the leaked internal database reveal about The Gentlemen ransomware-as-a-service gang’s operations, including its rapid rise in 2026. Article summary: The leak showed The Gentlemen is a young RaaS operation whose internal chats and alleged backend data were partially exposed, but the material should be treated as an incomplete view rather than a full organizational map. Topic tags: general, general web, government. Reference image context from search candidates: Reference image 1: visual subject "The Gentlemen ransomware emerged as a formidable Ransomware-as-a-Service (RaaS) operation in June 2025 and has rapidly escalated into a global cyber threat, claiming over 320 victi" source context "The Gentlemen Ransomware: A Rapidly Scaling RaaS Threat" Reference image 2: visual subject "Nascent ransomware-as-a-serv
openai.com
Редкий взгляд внутрь растущей ransomware‑операции
В мае 2026 года исследователи кибербезопасности получили доступ к утекшим внутренним данным группы The Gentlemen — быстро растущей вымогательской операции формата ransomware‑as‑a‑service (RaaS). Материалы, распространявшиеся на подпольных форумах, включали внутренние чаты и данные backend‑системы примерно за период с ноября 2025 по апрель 2026 года.
Такие утечки крайне редки: обычно деятельность ransomware‑групп скрыта за закрытыми инфраструктурами и анонимными каналами связи. При этом исследователи предупреждают, что опубликованный набор данных вероятно неполный, поэтому он показывает лишь часть реальной структуры и процессов группировки.
Тем не менее информация дает ценное представление о том, как сегодня устроена экономика вымогательских атак — от набора партнеров до управления инфраструктурой и выбора целей.
Быстрый рост The Gentlemen в 2026 году
The Gentlemen появилась сравнительно недавно — примерно в середине 2025 года. Несмотря на это, уже в начале 2026 года ее сайт утечек данных содержал сотни организаций‑жертв более чем из 50 стран.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Каков краткий ответ на вопрос «Утечка The Gentlemen: как новая RaaS‑группа стремительно выросла в 2026 году»?
Утечка внутренних чатов и данных The Gentlemen (ноябрь 2025 — апрель 2026) дала редкое представление о работе быстро растущей ransomware‑as‑a‑service операции.
Какие ключевые моменты необходимо проверить в первую очередь?
Утечка внутренних чатов и данных The Gentlemen (ноябрь 2025 — апрель 2026) дала редкое представление о работе быстро растущей ransomware‑as‑a‑service операции. Группа стремительно масштабировалась: в первые пять месяцев 2026 года на ее сайте утечек появилось около 332 жертв, а число атак в Q1 выросло на 588% по сравнению с концом 2025 года.
Что мне делать дальше на практике?
Исследования показали, что ключевой точкой входа для атак стали интернет‑доступные сетевые устройства — особенно FortiGate, включая использование критической уязвимости CVE‑2024‑55591.
Как и многие современные группы, она использует модель двойного вымогательства: сначала злоумышленники крадут данные компании, затем шифруют системы и угрожают опубликовать украденную информацию, если выкуп не будет выплачен.
По данным исследователей, в первые пять месяцев 2026 года на сайте утечек группы было опубликовано около 332 жертв, что сделало ее одной из самых активных ransomware‑операций в мире.
Темпы роста оказались особенно заметны в начале года: в первом квартале 2026 года группа опубликовала 179 жертв, тогда как в четвертом квартале 2025 года их было всего 26 — рост составил примерно 588%.
Как работает модель ransomware‑as‑a‑service
The Gentlemen действует по модели RaaS (ransomware‑as‑a‑service) — фактически это криминальная «платформа», где разные участники выполняют разные роли.
В такой схеме:
разработчики создают шифровальщик и инфраструктуру
операторы управляют платформой и выплатами
партнеры‑аффилиаты проводят реальные взломы
Утекшая база данных показала несколько внутренних аккаунтов в панели управления RaaS. Управление инфраструктурой, по данным исследователей, связано с оператором под псевдонимом zeta88 (также известным как hastalamuerte).
Такое разделение труда позволяет небольшой основной команде быстро масштабировать атаки: партнеры выполняют большую часть операций, а платформа обеспечивает инструменты и инфраструктуру.
Основная точка входа — сетевые устройства на периметре
Одно из ключевых открытий утечки связано со способом первоначального проникновения в сети компаний.
Исследователи обнаружили, что атаки часто начинались через интернет‑доступные сетевые устройства, включая:
межсетевые экраны (firewalls)
VPN‑шлюзы
системы сетевого управления
Такие устройства находятся на границе корпоративной сети и нередко имеют административные интерфейсы, доступные из интернета. Компрометация одного такого устройства может дать злоумышленнику привилегированный доступ к внутренней сети.
Эксплуатация критической уязвимости Fortinet
Одной из наиболее часто используемых уязвимостей стала CVE‑2024‑55591 — критическая ошибка в FortiOS и FortiProxy.
Эта уязвимость позволяет злоумышленнику:
обходить механизм аутентификации
отправлять специально сформированные запросы
получать привилегии супер‑администратора на устройстве
После этого атакующий фактически получает полный контроль над сетевым устройством и может использовать его как точку входа во внутреннюю инфраструктуру компании.
Инвентарь из тысяч взломанных устройств FortiGate
Еще одно примечательное открытие — масштаб инфраструктуры, которую группа отслеживает для будущих атак.
По данным аналитиков, операторы The Gentlemen вели базу примерно из 14 700 уже взломанных устройств FortiGate по всему миру, а также хранили сотни проверенных VPN‑учетных данных, связанных с этими системами.
Такая база может использоваться как своего рода «пул доступа» для будущих атак. Получив контроль над сетевым устройством, злоумышленники могут постепенно продвигаться дальше по сети — часто оставаясь незамеченными.
Что показали внутренние чаты
Утекшие чаты раскрыли детали координации внутри группы. Сообщения охватывали разные этапы атак, включая:
обсуждение потенциальных целей
управление инфраструктурой
взаимодействие с партнерами
подготовку публикации данных жертв на сайте утечек
Каналы коммуникации включали несколько рабочих чатов, связанных с различными задачами операции. Анализ этих сообщений помог исследователям восстановить хронологию атак и внутренние рабочие процессы группировки.
Главный вывод для компаний и команд безопасности
Главный урок из этой утечки касается не только одной группы, а всей современной экосистемы ransomware.
Сегодня сетевые устройства на периметре сети становятся одной из главных точек входа для атак.
Многие организации уделяют основное внимание защите рабочих станций и серверов, но взломанные:
firewall
VPN‑шлюзы
системы управления сетью
могут фактически обойти большинство традиционных механизмов защиты.
Эксперты рекомендуют организациям:
быстро устанавливать обновления безопасности для сетевых устройств
закрывать публичный доступ к административным интерфейсам
использовать многофакторную аутентификацию для администраторов
централизованно анализировать журналы firewall и VPN
Особое внимание стоит уделять критическим уязвимостям вроде CVE‑2024‑55591, которые позволяют получить полный административный доступ к устройствам.
Частичная утечка, но ценный источник информации
Исследователи подчеркивают, что опубликованные данные — это лишь частичный снимок деятельности The Gentlemen, а не полная картина всей операции.
Тем не менее утечка дала редкую возможность увидеть изнутри, как работает современная ransomware‑платформа — и как быстро подобные группы могут масштабироваться благодаря партнерской модели, автоматизированным инструментам и уязвимым сетевым устройствам.
Для специалистов по безопасности вывод очевиден: защита интернет‑доступной инфраструктуры стала одной из ключевых линий обороны в эпоху ransomware.
Comments
0 comments