- 26,761
- 46
- 8 Ноя 2022
За фасадом громких взломов обнаружилась рутина, которую никто из участников не хотел показывать.
Группировка The Gentlemen, которую недавно называли одним из самых активных вымогательских проектов 2026 года, сама столкнулась с утечкой данных . В открытый доступ попали внутренние переписки, где видна повседневная работа вымогателей: выбор целей, подготовка атак, управление инфраструктурой и попытки скрыться от защитных систем.
Первые сообщения о взломе The Gentlemen появились 4 мая на форуме Breached. Неизвестный пользователь сначала выставил украденные данные на продажу за $10 000 в биткоинах, а затем опубликовал ссылку на MediaFire, где архив стал доступен бесплатно.
По данным главы направления анализа угроз DynaRisk Миливоя Раича, утечка включает около 8200 строк из внутреннего чата, изображения заражённых систем и временные метки, которые в основном совпадают с московским рабочим графиком. Материалы показывают, как группа обсуждала <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-доступы, OpenConnect, инструменты командного управления, доставку вредоносной нагрузки, отключение EDR-средств и повышение привилегий до администратора домена в Active Directory.
Из переписок следует, что атаки часто начинались с украденных учётных данных для сетевого оборудования Fortinet. Для удалённого управления скомпрометированными системами участники The Gentlemen регулярно использовали открытый репозиторий ZeroPulse на GitHub. Перед шифрованием злоумышленники изучали сеть, искали серверы виртуализации, резервные копии, NAS-хранилища, Exchange-серверы и критически важные узлы, чтобы усилить давление на жертву и усложнить восстановление.
В утечке также обнаружили биткоин-адреса для внутренних переводов и покупки оборудования. Переписки указывают, что The Gentlemen взломала компанию, связанную соглашениями о неразглашении с Sony и Barclays. Группа угрожала опубликовать документы, если не получит выкуп.
Отдельный удар по The Gentlemen нанесла Bedrock Safeguard, которая 2 мая представила публичный способ расшифровки файлов без оплаты. Компания не взломала сам алгоритм, а нашла слабость в реализации: временные криптографические ключи могли сохраняться в памяти процесса. В тесте специалисты восстановили 35 из 35 файлов, а поиск ключей занял менее секунды.
The Gentlemen появилась как RaaS-проект в середине 2025 года. К апрелю 2026 года на сайте утечек группировки значилось более 340 организаций, отказавшихся платить. По данным ZeroFox, группа обещала партнёрам до 90% выкупа, а для атак без шифрования повышала долю до 97%. После выхода дешифратора вымогатели быстро обновили вредоносную программу, что показывает, насколько оперативно такие операции реагируют на действия защитников.
Группировка The Gentlemen, которую недавно называли одним из самых активных вымогательских проектов 2026 года, сама столкнулась с утечкой данных . В открытый доступ попали внутренние переписки, где видна повседневная работа вымогателей: выбор целей, подготовка атак, управление инфраструктурой и попытки скрыться от защитных систем.
Первые сообщения о взломе The Gentlemen появились 4 мая на форуме Breached. Неизвестный пользователь сначала выставил украденные данные на продажу за $10 000 в биткоинах, а затем опубликовал ссылку на MediaFire, где архив стал доступен бесплатно.
По данным главы направления анализа угроз DynaRisk Миливоя Раича, утечка включает около 8200 строк из внутреннего чата, изображения заражённых систем и временные метки, которые в основном совпадают с московским рабочим графиком. Материалы показывают, как группа обсуждала <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-доступы, OpenConnect, инструменты командного управления, доставку вредоносной нагрузки, отключение EDR-средств и повышение привилегий до администратора домена в Active Directory.
Из переписок следует, что атаки часто начинались с украденных учётных данных для сетевого оборудования Fortinet. Для удалённого управления скомпрометированными системами участники The Gentlemen регулярно использовали открытый репозиторий ZeroPulse на GitHub. Перед шифрованием злоумышленники изучали сеть, искали серверы виртуализации, резервные копии, NAS-хранилища, Exchange-серверы и критически важные узлы, чтобы усилить давление на жертву и усложнить восстановление.
В утечке также обнаружили биткоин-адреса для внутренних переводов и покупки оборудования. Переписки указывают, что The Gentlemen взломала компанию, связанную соглашениями о неразглашении с Sony и Barclays. Группа угрожала опубликовать документы, если не получит выкуп.
Отдельный удар по The Gentlemen нанесла Bedrock Safeguard, которая 2 мая представила публичный способ расшифровки файлов без оплаты. Компания не взломала сам алгоритм, а нашла слабость в реализации: временные криптографические ключи могли сохраняться в памяти процесса. В тесте специалисты восстановили 35 из 35 файлов, а поиск ключей занял менее секунды.
The Gentlemen появилась как RaaS-проект в середине 2025 года. К апрелю 2026 года на сайте утечек группировки значилось более 340 организаций, отказавшихся платить. По данным ZeroFox, группа обещала партнёрам до 90% выкупа, а для атак без шифрования повышала долю до 97%. После выхода дешифратора вымогатели быстро обновили вредоносную программу, что показывает, насколько оперативно такие операции реагируют на действия защитников.
- Источник новости
- www.securitylab.ru
