Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
The Gentlemen to nowa operacja ransomware-as-a-service, która w bardzo krótkim czasie zyskała znaczącą pozycję w krajobrazie cyberzagrożeń. Mimo nazwy sugerującej łagodność grupa prowadzi klasyczne kampanie podwójnego wymuszenia, łącząc szyfrowanie systemów z kradzieżą danych oraz groźbą ich publikacji. Szczególny niepokój budzi tempo rozwoju zaplecza technicznego i wysoki poziom dojrzałości operacyjnej widoczny już na wczesnym etapie działalności.
W skrócie
- The Gentlemen pojawiło się w połowie 2025 roku i szybko awansowało do grona najbardziej aktywnych grup RaaS.
- Atakujący wykorzystują m.in. SystemBC, tunele SOCKS5, Cobalt Strike i mechanizmy wyłączania zabezpieczeń Windows.
- W kampaniach obserwowano masowe wdrażanie ransomware za pomocą Active Directory Group Policy.
- Grupa rozwija także warianty przeznaczone dla środowisk VMware ESXi.
- Najbardziej narażone są organizacje korporacyjne z rozbudowaną domeną Windows i scentralizowaną administracją.
Kontekst / historia
Model ransomware-as-a-service od lat obniża próg wejścia dla cyberprzestępców. Twórcy dostarczają oprogramowanie, infrastrukturę oraz kanały negocjacyjne, natomiast afilianci odpowiadają za uzyskanie dostępu do ofiary, ruch boczny i uruchomienie ładunku szyfrującego. Skuteczność takich operacji zależy od jakości narzędzi, atrakcyjności programu partnerskiego oraz zdolności do utrzymania ciągłości działania mimo presji ze strony organów ścigania i branży bezpieczeństwa.
Na tym tle The Gentlemen wyróżnia się wyjątkowo szybkim tempem wzrostu. W krótkim czasie grupa osiągnęła poziom aktywności porównywalny z bardziej ugruntowanymi markami ransomware. Jej rosnąca obecność w raportach branżowych sugeruje, że ma skuteczny model afiliacyjny oraz ofertę atrakcyjną dla operatorów szukających dojrzałego zaplecza technicznego.
Analiza techniczna
W analizowanych incydentach po uzyskaniu dostępu do środowiska atakujący uruchamiali malware SystemBC. To komponent pośredniczący, wykorzystywany do zestawiania tuneli SOCKS5, ukrywania komunikacji z infrastrukturą dowodzenia i kontroli oraz pobierania kolejnych narzędzi. W praktyce stanowi on wygodną warstwę transportową dla dalszych etapów ręcznie prowadzonych operacji.
Następnie operatorzy rozszerzali obecność w sieci, koncentrując się na zasobach o wysokiej wartości, zwłaszcza na kontrolerach domeny. Uzyskanie uprzywilejowanego dostępu do takiego systemu znacząco przyspiesza eskalację ataku, umożliwiając rekonesans, modyfikację polityk bezpieczeństwa, dystrybucję narzędzi oraz przygotowanie masowego wdrożenia ransomware.
Jednym z najbardziej niebezpiecznych elementów działania The Gentlemen jest wykorzystanie natywnej infrastruktury Active Directory. Operatorzy mogą używać Group Policy do jednoczesnego uruchamiania ładunku na wielu hostach domenowych. Dla obrońców oznacza to, że przejęcie jednego kluczowego systemu administracyjnego może bardzo szybko doprowadzić do szyfrowania dużej części środowiska Windows.
Sam ransomware rozwijany jest w języku Go, co wpisuje się w trend tworzenia przenośnych i łatwych do adaptacji binariów. Zaobserwowano funkcje pozwalające wyłączać Microsoft Defender, zaporę systemową oraz wybrane mechanizmy monitorowania i skanowania. Grupa korzysta również z narzędzi zdalnego dostępu oraz komponentów wspierających utrzymanie trwałości w środowisku ofiary.
Istotnym elementem operacji jest także wariant przeznaczony dla VMware ESXi. Wskazuje to na dążenie do skutecznego paraliżowania infrastruktury wirtualnej i zwiększania presji na ofiary. Dodatkowo operatorzy podejmują działania przygotowawcze, takie jak kontrolowane wyłączanie maszyn wirtualnych czy ograniczanie mechanizmów automatycznego odzyskiwania, co zwiększa skuteczność szyfrowania i utrudnia szybkie odtworzenie usług.
Na uwagę zasługuje również dojrzałość modelu afiliacyjnego. Pakiet oferowany przez grupę obejmuje eksfiltrację danych, szyfrowanie, ruch boczny, techniki unikania detekcji i obsługę wielu platform. Dzięki temu nawet mniej doświadczeni afilianci mogą realizować ataki o skali typowej dla bardziej zaawansowanych operatorów.
Konsekwencje / ryzyko
Największe ryzyko dla organizacji wynika z bardzo krótkiego czasu przejścia od początkowej kompromitacji do pełnoskalowego incydentu. Jeśli napastnicy przejmą system brzegowy, a następnie uzyskają dostęp do kontrolera domeny, rozpropagowanie ładunku może nastąpić błyskawicznie. Skutkiem może być jednoczesna niedostępność usług, utrata danych, przerwanie procesów biznesowych, szkody reputacyjne oraz presja negocjacyjna wynikająca z podwójnego wymuszenia.
Szczególnie zagrożone są organizacje z rozbudowanymi domenami Windows, wysokim stopniem centralizacji administracji, niewystarczającą segmentacją sieci i krytycznymi usługami utrzymywanymi na hostach ESXi. Dodatkowym problemem jest wykorzystywanie legalnych narzędzi administracyjnych i popularnych frameworków ofensywnych, co może utrudniać wykrycie anomalii na wczesnym etapie ataku.
Rekomendacje
W pierwszej kolejności organizacje powinny ograniczyć ryzyko kompromitacji systemów wystawionych do Internetu. Niezbędne są regularne przeglądy zasobów publicznych, szybkie usuwanie podatności, wyłączanie nieużywanych usług zdalnych oraz wdrażanie wieloskładnikowego uwierzytelniania tam, gdzie jest to możliwe.
Kluczowe znaczenie ma ochrona warstwy tożsamości i infrastruktury domenowej. Kontrolery domeny powinny być objęte wzmocnionym monitoringiem, segmentacją i ścisłą kontrolą dostępu uprzywilejowanego. Każda nietypowa modyfikacja Group Policy, nagłe wdrożenia skryptów PowerShell czy nieoczekiwana dystrybucja binariów powinny uruchamiać alerty bezpieczeństwa.
Warto również wdrożyć detekcję zachowań charakterystycznych dla etapów poprzedzających szyfrowanie. Dotyczy to w szczególności tuneli SOCKS5, komunikacji z serwerami C2, wyłączania Defendera i zapory, nietypowego użycia narzędzi zdalnego dostępu, aktywności Cobalt Strike oraz gwałtownego wzrostu operacji administracyjnych na wielu hostach. Istotna jest także telemetria z hostów ESXi i monitorowanie zdarzeń związanych z masowym wyłączaniem maszyn wirtualnych.
Z perspektywy odporności operacyjnej niezbędne są odseparowane kopie zapasowe, regularne testy odtwarzania, procedury izolacji segmentów sieci oraz gotowy plan reagowania na incydenty ransomware. Program szkoleniowy dla pracowników i administratorów powinien obejmować rozpoznawanie oznak kompromitacji, zasady pracy z uprzywilejowanymi kontami oraz właściwą reakcję na incydenty z użyciem narzędzi zdalnego dostępu.
Podsumowanie
The Gentlemen to przykład nowej generacji operacji RaaS, która bardzo szybko osiągnęła skalę zwykle zarezerwowaną dla bardziej dojrzałych grup ransomware. Połączenie SystemBC, tunelowania sieciowego, aktywnego ruchu bocznego, wyłączania zabezpieczeń, wykorzystania Group Policy oraz wariantów dla środowisk ESXi sprawia, że zagrożenie ma charakter wysoce operacyjny i stanowi realne ryzyko dla dużych organizacji. Dla zespołów bezpieczeństwa najważniejsze pozostają dziś trzy priorytety: ochrona systemów brzegowych, twarde zabezpieczenie Active Directory oraz szybkie wykrywanie działań przygotowawczych poprzedzających detonację ransomware.
Źródła
- Dark Reading — „The Gentlemen’ Rapidly Rises to Ransomware Prominence” — https://www.darkreading.com/threat-intelligence/gentlemen-rapidly-rise-ransomware
- Comparitech — „Ransomware roundup: Q1 2026” — https://www.comparitech.com/news/ransomware-roundup-q1-2026/
- NCC Group — „Monthly Threat Pulse – Review of February 2026” — https://www.nccgroup.com/newsroom/ncc-group-monthly-threat-pulse-review-of-february-2026/
- GuidePoint Security — „Q1 2026 Ransomware and Cyber Threat Insights” — https://www.guidepointsecurity.com/wp-content/uploads/2026/04/Q1-2026_Ransomware_and-Cyber_Threat_Insights.pdf
- Silent Push — „No Place to Hide: Following a Serial Ransomware Affiliate from LockBit, Black Basta, and Qilin to The Gentlemen” — https://www.silentpush.com/blog/gentlemen-ransomware/