Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
The Gentlemen to grupa ransomware, która w krótkim czasie zyskała rozgłos dzięki połączeniu kilku skutecznych elementów operacyjnych: dostępu pozyskiwanego z logów infostealerów, wykorzystania narzędzi wspieranych przez sztuczną inteligencję oraz bardzo atrakcyjnego modelu wynagradzania afiliantów. To przykład nowoczesnego ekosystemu RaaS, w którym o przewadze nie decyduje wyłącznie sam szyfrator, ale przede wszystkim sprawność w zdobywaniu dostępu i skalowaniu ataków.
W praktyce oznacza to przesunięcie akcentu z pojedynczego, zaawansowanego exploita na dobrze zorganizowany model biznesowy cyberprzestępczości. The Gentlemen pokazuje, że ransomware coraz częściej działa jak profesjonalna usługa, rozwijana i optymalizowana podobnie jak legalne produkty technologiczne.
W skrócie
- Grupa The Gentlemen pojawiła się we wrześniu 2025 roku.
- Do połowy czerwca 2026 roku przypisano jej 483 ofiary z 66 krajów.
- Trzon operacji miało tworzyć dziewięć osób.
- Afilianci zatrzymywali aż 90% okupu, co wyróżniało tę ofertę na tle konkurencji.
- Początkowy dostęp często pochodził ze skradzionych poświadczeń i tokenów sesyjnych przejętych przez infostealery.
- AI miała wspierać prace programistyczne, analizę danych i zadania operacyjne.
Kontekst / historia
The Gentlemen wpisuje się w wieloletni trend profesjonalizacji rynku ransomware. Współczesne grupy tego typu nie ograniczają się do tworzenia malware. Budują zaplecze negocjacyjne, rozwijają infrastrukturę, rekrutują afiliantów i standaryzują procesy ataku. Dzięki temu mogą działać szybciej, taniej i na większą skalę.
Szczególne znaczenie w analizie tej grupy miały ujawnione logi czatów obejmujące okres od 7 listopada 2025 roku do 30 kwietnia 2026 roku. Materiał ten miał wskazywać, że operatorzy nie tworzyli wszystkiego od podstaw, lecz adaptowali znane techniki oraz korzystali z doświadczeń wyniesionych z wcześniejszych kampanii ransomware. To ważny sygnał dla obrońców: skuteczność ataku nie musi wynikać z nowatorskich narzędzi, ale z dobrego wykorzystania już znanych metod.
Interesujący jest również dobór celów. Choć ataki obejmowały wiele regionów, udział ofiar z USA był niższy niż w przypadku części innych kampanii ransomware. Większy nacisk miał być kładziony na organizacje z regionów o wysokiej podatności operacyjnej, co sugeruje, że grupa dobierała cele nie tylko pod kątem wysokości potencjalnego okupu, ale także prawdopodobieństwa szybkiej presji biznesowej.
Analiza techniczna
Rdzeń techniczny operacji The Gentlemen koncentrował się na fazie initial access. Zamiast polegać wyłącznie na bieżącym exploitowaniu nowych podatności, grupa miała łączyć kilka sprawdzonych metod wejścia do środowiska ofiary.
- eksploatację urządzeń i usług wystawionych do internetu,
- wykorzystanie starszych słabości środowisk Active Directory,
- logowanie z użyciem prawidłowych poświadczeń przejętych przez infostealery,
- nadużycie przejętych skrzynek pocztowych i aktywnych sesji użytkowników.
W analizach przypisywanych tej kampanii pojawiały się odniesienia do podatności w FortiOS oraz do technik znanych ze środowisk Windows i Active Directory, takich jak ZeroLogon czy PetitPotam. Oznacza to, że grupa nie musiała stale dysponować kosztownym łańcuchem zero-day. W wielu przypadkach wystarczało skuteczne połączenie znanych luk, błędnej konfiguracji oraz przejętych danych uwierzytelniających.
Największym akceleratorem operacji były jednak infostealery. To właśnie one dostarczają przestępcom loginów, haseł, ciasteczek sesyjnych oraz innych artefaktów uwierzytelniających. Jeśli pracownik zalogował się do poczty, VPN lub panelu administracyjnego z wcześniej zainfekowanego hosta, te dane mogły trafić do obiegu przestępczego i zostać wykorzystane przez operatorów ransomware. Szczególnie groźne są aktywne tokeny sesyjne, ponieważ w części scenariuszy pozwalają ominąć tradycyjne mechanizmy MFA.
Istotny pozostaje także wątek wykorzystania AI. Z dostępnych informacji wynika, że modele AI mogły wspierać rozwój paneli, automatyzację zaplecza oraz analizę dużych wolumenów wykradzionych danych. Nie oznacza to pełnej autonomizacji ataku, ale potwierdza, że sztuczna inteligencja staje się dla cyberprzestępców narzędziem zwiększającym produktywność i przyspieszającym operacje wymuszeniowe.
W kampaniach tego rodzaju rośnie również znaczenie samej eksfiltracji danych. Szyfrowanie nie jest już jedyną metodą nacisku. Przejęta korespondencja, dokumentacja medyczna, dane klientów czy wewnętrzne kontakty mogą być wykorzystywane do szantażu, wtórnego phishingu lub dalszej kompromitacji partnerów biznesowych.
Konsekwencje / ryzyko
Model działania The Gentlemen zwiększa ryzyko dla organizacji na kilku poziomach. Po pierwsze, uzależnienie od infostealerów oznacza, że naruszenie może rozpocząć się poza klasycznym perymetrem bezpieczeństwa, na urządzeniu pracownika lub partnera. Po drugie, użycie legalnych poświadczeń utrudnia wykrycie intruza, ponieważ jego aktywność może przypominać zwykłe logowanie lub standardowe działania administracyjne.
Po trzecie, bardzo wysoki udział zysków dla afiliantów może przyciągać większą liczbę partnerów, co zwiększa skalę kampanii i różnorodność stosowanych technik. Po czwarte, wsparcie AI obniża koszt realizacji bardziej złożonych działań, takich jak rozwój narzędzi, analiza danych czy organizacja procesu szantażu.
Dla ofiar oznacza to realne zagrożenia:
- przestój operacyjny po zaszyfrowaniu systemów,
- wyciek danych wrażliwych,
- nadużycie przejętych skrzynek i tożsamości,
- wtórne kampanie phishingowe prowadzone z zaufanych kont,
- straty finansowe, regulacyjne i reputacyjne.
Szczególnie narażone pozostają organizacje z ekspozycją usług zdalnych, zaległościami w patchowaniu urządzeń brzegowych, słabym monitoringiem sesji użytkowników oraz niewystarczającą widocznością wycieków poświadczeń w ekosystemie infostealerów.
Rekomendacje
Obrona przed kampaniami podobnymi do The Gentlemen wymaga połączenia bezpieczeństwa endpointów, tożsamości i infrastruktury internetowej. To nie jest już wyłącznie problem antywirusa czy kopii zapasowych, ale kwestia pełnej kontroli nad cyklem życia poświadczeń i sesji użytkowników.
- priorytetowo łatać urządzenia i usługi dostępne z internetu, zwłaszcza firewalle, VPN i systemy zdalnego dostępu,
- reagować natychmiast na każdy sygnał wycieku poświadczeń pracowników w logach infostealerów,
- wymuszać reset haseł oraz unieważniać aktywne sesje po wykryciu kompromitacji,
- wdrażać uwierzytelnianie odporne na phishing i przejęcie sesji, najlepiej z użyciem passkeys lub sprzętowych metod potwierdzania tożsamości,
- utwardzać Active Directory i eliminować znane ścieżki eskalacji uprawnień,
- segmentować sieć w celu ograniczenia ruchu bocznego po kompromitacji pojedynczego hosta,
- monitorować pocztę i alertować o nietypowych logowaniach do OWA, VPN i paneli administracyjnych,
- chronić przeglądarki oraz stacje robocze przed kradzieżą ciasteczek, tokenów i zapisanych haseł,
- regularnie testować kopie zapasowe offline oraz procedury odtworzeniowe,
- zakładać, że incydent ransomware obejmuje również eksfiltrację danych, nawet jeśli pierwszym objawem jest szyfrowanie.
W praktyce najskuteczniejsze podejście wymaga korelacji telemetryki z wielu warstw: EDR/XDR, IAM, poczty, VPN, serwerów katalogowych oraz źródeł threat intelligence. Sama detekcja malware na stacji końcowej może nie wystarczyć, jeśli napastnicy korzystają już z aktywnych sesji i prawidłowych danych logowania.
Podsumowanie
The Gentlemen pokazuje, że współczesne ransomware nie potrzebuje przełomowego malware, aby osiągnąć dużą skalę działania. Wystarczy skuteczny model afiliacyjny, łatwy dostęp do poświadczeń z infostealerów, umiejętne wykorzystanie znanych technik i wsparcie AI w zadaniach operacyjnych.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona tożsamości, monitorowanie wycieków poświadczeń oraz szybkie reagowanie na kompromitację sesji stają się równie ważne jak patch management i backup. W 2026 roku przewaga napastnika coraz częściej wynika nie z jednego wyrafinowanego exploita, ale z umiejętności łączenia wielu dostępnych komponentów w sprawny model biznesowy cyberprzestępczości.