The Gentlemen 勒索軟件內部資料外洩：一個 RaaS 集團如何迅速崛起

核心團隊負責：

• 開發勒索軟件
• 維護控制面板同支付系統
• 管理數據外洩網站

而真正入侵企業網絡、部署勒索軟件嘅，通常係外部 affiliate（合作攻擊者）。

外洩資料顯示，後台系統內存在多個操作帳戶，而整個基礎設施據稱由一名代號 「zeta88」（又名 hastalamuerte）嘅核心人物管理。

呢種分工模式令組織可以保持核心團隊細小，但透過大量合作攻擊者迅速擴張。

專攻企業網絡邊界設備

外洩資料其中一個最重要嘅發現係：

攻擊入口通常唔係員工電腦，而係企業網絡邊界設備。

研究人員將多宗入侵事件同以下設備連結：

• 防火牆
• VPN gateway
• 網絡管理系統

特別係那些 直接暴露喺互聯網上 嘅設備。

其中一個被頻繁利用嘅漏洞係 CVE‑2024‑55591，影響 Fortinet 嘅 FortiOS 同 FortiProxy。該漏洞屬於 身份驗證繞過漏洞，攻擊者可以透過特製請求取得 super‑admin 權限。

一旦攻擊者控制到邊界設備，就等於喺企業網絡內取得一個高權限據點，可以繞過許多傳統安全防護。

14,700 台已被攻破的 FortiGate 設備

另一個令人關注嘅細節係，威脅情報顯示該組織維護一個龐大資源庫。

調查人員發現，The Gentlemen 似乎記錄咗 約 14,700 台已被攻破嘅 FortiGate 防火牆設備，另外仲有 數百組經驗證嘅 VPN 帳號密碼。

呢個清單可以視為未來攻擊嘅「入侵管道」。

當攻擊者已經控制咗企業邊界設備，就可以：

• 靜悄悄進入企業內網
• 收集帳號憑證
• 橫向移動至關鍵系統

而唔需要再依賴釣魚郵件或惡意檔案等傳統方式。

外洩聊天紀錄揭示的運作方式

雖然資料並不完整，但內部聊天仍然透露咗不少細節。

聊天頻道內容包括：

• 攻擊目標與受害者選擇
• 基礎設施管理
• affiliate 活動協調
• 在公開宣稱攻擊前嘅內部討論

部分聊天頻道名稱例如 INFO、general、TOOLS、PODBOR，顯示組織內部其實有相當清晰嘅分工與流程。

這些資料幫助研究人員重建勒索攻擊由入侵到公開勒索嘅時間線。

對企業防禦的幾個重要啟示

The Gentlemen 的案例其實反映咗整個勒索軟件生態嘅趨勢：

企業網絡邊界設備已經成為最熱門嘅入侵入口之一。

很多企業把重點放在端點防護，例如防毒軟件或 EDR，但如果防火牆或 VPN 被攻破，攻擊者可以直接繞過這些防禦。

安全專家建議優先處理幾個重點：

• 快速修補邊界設備漏洞，尤其是像 CVE‑2024‑55591 這類高危漏洞。
• 避免將管理介面直接暴露在互聯網。
• 為管理帳號啟用 多重身份驗證（MFA）。
• 持續監控 防火牆、VPN 和管理系統日誌。

一個不完整但珍貴的內幕視角

研究人員強調，今次流出的資料只係 部分內部資料快照，並不足以完全描繪 The Gentlemen 整個組織。

但即使如此，這次外洩仍然提供咗一個難得嘅機會，讓外界理解現代 RaaS 勒索軟件產業如何運作，以及為何這些團伙能夠在短時間內迅速壯大。

對防禦方而言，訊息其實非常清晰：

企業網絡邊界（network edge）已經成為勒索軟件戰場最重要的前線之一。