Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
The Gentlemen to stosunkowo nowy operator działający w modelu ransomware-as-a-service, który w krótkim czasie zbudował silną pozycję w krajobrazie współczesnych zagrożeń. Taki model biznesowy polega na udostępnianiu partnerom gotowych narzędzi do szyfrowania danych, prowadzenia wymuszeń oraz obsługi komunikacji z ofiarami, co znacząco przyspiesza skalowanie kampanii i zwiększa liczbę incydentów.
W przypadku The Gentlemen uwagę zwraca nie tylko tempo wzrostu, ale także dojrzałość operacyjna. Grupa od początku koncentruje się na środowiskach korporacyjnych, gdzie możliwe jest uzyskanie wysokiej presji biznesowej poprzez zakłócenie działania usług, zaszyfrowanie kluczowych systemów oraz groźbę ujawnienia skradzionych danych.
W skrócie
The Gentlemen pojawiło się w połowie 2025 roku i już po kilku miesiącach zaczęło być postrzegane jako jeden z najbardziej aktywnych nowych operatorów ransomware. Grupa stosuje model podwójnego wymuszenia, łącząc szyfrowanie zasobów z presją związaną z możliwą publikacją wykradzionych informacji.
- działa w modelu RaaS, co ułatwia szybkie pozyskiwanie afiliantów,
- wykorzystuje narzędzia takie jak SystemBC i Cobalt Strike,
- stara się przejmować kontrolę nad infrastrukturą domenową,
- może wdrażać ransomware masowo przez mechanizmy Active Directory,
- rozwija również warianty ukierunkowane na środowiska VMware ESXi.
Kontekst / historia
Dynamiczny rozwój The Gentlemen dobrze wpisuje się w szerszy trend profesjonalizacji cyberprzestępczości. Współczesny ekosystem ransomware coraz częściej działa jak dojrzały rynek usługowy, w którym oddzielne podmioty odpowiadają za dostęp początkowy, rozwój złośliwego oprogramowania, infrastrukturę komunikacyjną, negocjacje z ofiarami oraz monetyzację ataku.
Na tym tle The Gentlemen wyróżnia się bardzo szybkim budowaniem skali. W krótkim czasie grupa zaczęła być łączona z dużą liczbą ofiar, co sugeruje skuteczne pozyskiwanie partnerów oraz atrakcyjny model podziału zysków. Tego typu dynamika zwiększa ryzyko, że nowy operator błyskawicznie stanie się jednym z dominujących zagrożeń dla organizacji publicznych i prywatnych.
Analiza techniczna
Z technicznego punktu widzenia kampanie przypisywane The Gentlemen pokazują dojrzały i wieloetapowy łańcuch ataku. Po uzyskaniu dostępu początkowego napastnicy wdrażają komponenty pośredniczące, takie jak SystemBC, które umożliwiają tunelowanie ruchu, komunikację z infrastrukturą dowodzenia i kontroli oraz dostarczanie kolejnych ładunków. Następnie prowadzą rekonesans, eskalację uprawnień i ruch boczny w sieci ofiary.
Szczególnie niebezpieczny jest scenariusz przejęcia kontrolera domeny. Uzyskanie takiego poziomu dostępu pozwala operatorom nie tylko utrzymać kontrolę nad środowiskiem, ale również wdrożyć ransomware jednocześnie na wielu hostach z wykorzystaniem polityk grupowych lub innych narzędzi administracyjnych. To znacząco skraca czas między kompromitacją a detonacją ładunku oraz utrudnia skuteczną reakcję zespołów bezpieczeństwa.
Samo ransomware rozwijane jest w języku Go, co ułatwia tworzenie wariantów wieloplatformowych i przyspiesza adaptację kodu do różnych środowisk. Analizy wskazują również na funkcje wyłączania Windows Defendera, zapory systemowej i wybranych mechanizmów monitorowania. Takie działania obniżają skuteczność ochrony endpointów i zwiększają prawdopodobieństwo powodzenia szyfrowania.
Dodatkowym czynnikiem ryzyka jest rozwój wariantów ukierunkowanych na VMware ESXi. Uderzenie w warstwę wirtualizacji może sparaliżować wiele usług jednocześnie, ponieważ pojedynczy host często obsługuje liczne maszyny wirtualne. W praktyce oznacza to możliwość szybkiego unieruchomienia krytycznych systemów biznesowych, aplikacji i usług wewnętrznych.
Konsekwencje / ryzyko
Największym zagrożeniem związanym z The Gentlemen jest zdolność do szybkiego przejścia od pojedynczego punktu wejścia do pełnoskalowego incydentu obejmującego całą domenę. W takim scenariuszu organizacja może utracić dostęp do stacji roboczych, serwerów plików, systemów aplikacyjnych i środowisk wirtualnych niemal równocześnie.
W modelu podwójnego wymuszenia problem nie kończy się na przestoju operacyjnym. Ofiary muszą dodatkowo uwzględnić ryzyko ujawnienia danych, konsekwencje regulacyjne, koszty odbudowy infrastruktury, zakłócenia w łańcuchu dostaw oraz straty reputacyjne. Szczególnie narażone pozostają organizacje o słabej segmentacji sieci, ograniczonej widoczności ruchu administracyjnego i niewystarczająco odseparowanych kopiach zapasowych.
Rekomendacje
Organizacje powinny traktować ochronę kontrolerów domeny, hypervisorów oraz systemów wystawionych do Internetu jako priorytet. Kluczowe znaczenie ma szybkie wykrywanie nietypowego ruchu wychodzącego, użycia tunelowania, nieautoryzowanych sesji administracyjnych oraz prób masowego wdrażania ładunków przez Active Directory.
- ograniczyć powierzchnię ataku systemów dostępnych publicznie i regularnie weryfikować ich podatności,
- wzmocnić segmentację sieci między użytkownikami, serwerami, administracją i środowiskami backupowymi,
- monitorować aktywność na kontrolerach domeny, w tym zmiany GPO, nowe usługi i nietypowe skrypty,
- wdrożyć silne MFA dla kont uprzywilejowanych oraz separację kont administracyjnych od codziennej pracy,
- aktualizować systemy operacyjne, hypervisory i rozwiązania bezpieczeństwa bez zbędnych opóźnień,
- utrzymywać kopie zapasowe offline lub logicznie odseparowane oraz regularnie testować odtwarzanie,
- przeprowadzać ćwiczenia reagowania na incydenty obejmujące scenariusz przejęcia domeny i masowego wdrożenia ransomware.
Zespoły SOC i DFIR powinny również rozszerzyć reguły detekcyjne o wskaźniki związane z wyłączaniem mechanizmów ochronnych, nietypowym użyciem narzędzi administracyjnych oraz aktywnością na hostach ESXi i repozytoriach kopii zapasowych. W praktyce to właśnie szybkość wykrycia fazy przedwdrożeniowej decyduje o tym, czy incydent zakończy się lokalnym naruszeniem, czy pełnym paraliżem organizacji.
Podsumowanie
The Gentlemen pokazuje, jak szybko nowa marka ransomware może osiągnąć wysoki poziom wpływu operacyjnego. Połączenie modelu RaaS, skutecznego pozyskiwania afiliantów, wykorzystania narzędzi pośredniczących i zdolności do atakowania środowisk domenowych oraz wirtualnych sprawia, że grupa stanowi istotne zagrożenie dla organizacji każdej wielkości.
Dla obrońców najważniejszy wniosek jest jasny: konieczne jest skrócenie czasu wykrywania działań po uzyskaniu dostępu początkowego, lepsza ochrona infrastruktury tożsamości oraz zapewnienie odporności operacyjnej poprzez segmentację, monitoring i skuteczne kopie zapasowe.
Źródła
- Dark Reading – The Gentlemen’ Rapidly Rises to Ransomware Prominence — https://www.darkreading.com/threat-intelligence/gentlemen-rapidly-rise-ransomware
- Comparitech – Ransomware roundup: Q1 2026 — https://www.comparitech.com/news/ransomware-roundup-q1-2026/
- NCC Group – Monthly Threat Pulse: Review of January 2026 — https://www.nccgroup.com/newsroom/ncc-group-monthly-threat-pulse-review-of-january-2026/
- Infosecurity Magazine – The Gentlemen Ransomware Expands With Rapid Affiliate Growth — https://www.infosecurity-magazine.com/news/gentlemen-ransomware-rapid/
- GuidePoint Security – Q1 2026 Ransomware and Cyber Threat Insights — https://www.guidepointsecurity.com/wp-content/uploads/2026/04/Q1-2026_Ransomware_and-Cyber_Threat_Insights.pdf