Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
The Gentlemen to rozwijająca się operacja ransomware-as-a-service (RaaS), która w krótkim czasie zbudowała aktywne zaplecze afiliacyjne i rozpoczęła ataki wymierzone w środowiska korporacyjne. Model RaaS polega na udostępnianiu narzędzi szyfrujących oraz infrastruktury partnerom, którzy odpowiadają za uzyskanie dostępu do sieci ofiary, eskalację uprawnień i wdrożenie ładunku ransomware.
W praktyce taki model zwiększa skalę kampanii, przyspiesza tempo ataków i obniża próg wejścia dla cyberprzestępców. Dla firm oznacza to większe ryzyko incydentów obejmujących całe środowisko IT, a nie tylko pojedyncze stacje robocze.
W skrócie
The Gentlemen przypisuje się ponad 320 ofiar, a zasadnicza część aktywności przypadła na początek 2026 roku. Grupa wykorzystuje wieloplatformowy zestaw narzędzi, obejmujący warianty ransomware napisane w Go dla Windows, Linux, NAS i BSD oraz osobny szyfrator dla środowisk ESXi opracowany w C.
- ataki są ukierunkowane na sieci firmowe i domeny Active Directory,
- operatorzy wykorzystują skradzione poświadczenia oraz ruch boczny,
- wdrożenie ładunku odbywa się m.in. przez Group Policy i udziały administracyjne,
- w kampaniach obserwowano także SystemBC oraz narzędzia post-exploitation,
- celem jest szybkie sparaliżowanie stacji roboczych, serwerów i infrastruktury wirtualnej.
Kontekst / historia
Operacja została zidentyfikowana w połowie 2025 roku i od tego czasu stopniowo zwiększała swoją obecność w cyberprzestępczym ekosystemie. Jej wzrost wpisuje się w szerszy trend fragmentacji rynku ransomware po osłabieniu największych marek RaaS w poprzednich latach.
Zamiast dominacji pojedynczych platform pojawia się coraz więcej mniejszych, elastycznych grup, które konkurują skutecznością, szybkością działania i jakością zaplecza technicznego. W takim modelu reputacja wśród afiliantów ma znaczenie operacyjne, ponieważ stabilne szyfratory, wsparcie wielu platform i gotowe mechanizmy lateral movement zwiększają atrakcyjność programu przestępczego.
The Gentlemen wykorzystuje właśnie tę przewagę, dostarczając zestaw narzędzi umożliwiający przejście od pojedynczego punktu wejścia do szybkiego szyfrowania stacji roboczych, serwerów oraz hostów wirtualizacyjnych.
Analiza techniczna
Z technicznego punktu widzenia The Gentlemen wyróżnia się podejściem nastawionym na środowiska enterprise. Udostępniane afiliantom warianty ransomware obsługują wiele platform, co pozwala objąć atakiem nie tylko klasyczne endpointy Windows, ale także serwery Linux, urządzenia NAS, systemy BSD oraz hosty ESXi.
W opisywanych incydentach napastnicy uzyskiwali dostęp do kontrolera domeny, a następnie wykorzystywali skradzione poświadczenia do dalszego ruchu bocznego. Do dystrybucji ładunku stosowano między innymi administracyjne udziały sieciowe i mechanizmy Group Policy, co umożliwia niemal równoczesne uruchomienie ransomware na dużej liczbie systemów.
Atak obejmował również działania wspierające finalną fazę szyfrowania, takie jak rekonesans sieci, pozyskiwanie poświadczeń, zdalne wykonywanie poleceń oraz wyłączanie zabezpieczeń endpointowych. Operatorzy modyfikowali harmonogram zadań, usługi i elementy rejestru, aby utrzymać trwałość dostępu i utrudnić działania obronne.
Dodatkowo ransomware kończy procesy powiązane z bazami danych, narzędziami backupowymi i maszynami wirtualnymi, aby zmaksymalizować wpływ na dostępność usług i ograniczyć możliwość szybkiego odtworzenia danych. Istotnym elementem kampanii był również SystemBC, malware używany jako ukryty kanał komunikacyjny i pośrednik dla dalszych ładunków.
Obecność SystemBC obok narzędzi kojarzonych z post-exploitation sugeruje modularny model intruzji, w którym operatorzy mogą dynamicznie podmieniać komponenty C2 i techniki utrzymania dostępu. To zwiększa elastyczność kampanii i utrudnia skuteczne blokowanie ataku na wczesnym etapie.
Konsekwencje / ryzyko
Największe ryzyko związane z The Gentlemen wynika z połączenia trzech cech: szybkiego wzrostu sieci afiliacyjnej, gotowych narzędzi do pracy w domenie oraz obsługi wielu platform. Dla organizacji oznacza to wysokie prawdopodobieństwo pełnego skompromitowania środowiska, a nie jedynie pojedynczych hostów.
Jeśli napastnik uzyska uprzywilejowane konto domenowe, może przeprowadzić zmasowane szyfrowanie w bardzo krótkim czasie. Dodatkowym problemem jest zdolność grupy do neutralizowania mechanizmów obronnych i utrudniania odzyskiwania danych poprzez usuwanie shadow copies, czyszczenie logów oraz zatrzymywanie procesów backupowych i bazodanowych.
W przypadku środowisk wirtualnych skutki mogą być jeszcze poważniejsze, ponieważ kompromitacja hostów ESXi może jednocześnie dotknąć wiele maszyn produkcyjnych. Z perspektywy biznesowej incydent tego typu oznacza przestoje operacyjne, utratę dostępności usług, potencjalny wyciek danych, koszty reagowania, ryzyko regulacyjne oraz straty reputacyjne.
Rekomendacje
Organizacje powinny przyjąć założenie, że kampanie tego typu nie są wyłącznie problemem ochrony endpointów, lecz pełnoskalowym zagrożeniem dla tożsamości, administracji domenowej i infrastruktury wirtualnej. W pierwszej kolejności należy wzmocnić kontrolę nad kontami uprzywilejowanymi, ograniczyć użycie kont domenowych do niezbędnego minimum oraz wdrożyć separację administracyjną dla kluczowych systemów.
- monitorować nadużycia Group Policy, SMB, PsExec, harmonogramu zadań i tworzenia nowych usług,
- wykrywać nietypowe użycie narzędzi zdalnego dostępu oraz tunelowanie ruchu,
- zabezpieczyć platformy wirtualizacyjne i systemy backupowe przed użyciem tych samych poświadczeń co środowisko produkcyjne,
- utrzymywać odseparowane kopie zapasowe i regularnie testować procedury odtwarzania,
- wdrożyć reguły blokujące masowe usuwanie shadow copies, wyłączanie EDR lub AV oraz nietypowe zmiany w usługach i rejestrze.
Z punktu widzenia SOC i zespołów IR warto przygotować scenariusze reagowania na atak domenowy z użyciem ransomware wieloplatformowego. Obejmuje to szybkie odcięcie systemów zarządzania, blokadę kompromitowanych kont, izolację hostów ESXi i serwerów backupowych oraz analizę śladów lateral movement z wykorzystaniem poświadczeń domenowych.
Podsumowanie
The Gentlemen pokazuje, że współczesne operacje ransomware rozwijają się w kierunku większej modularności, elastyczności i specjalizacji pod środowiska firmowe. Nie jest to już wyłącznie malware szyfrujący pliki na pojedynczych stacjach, lecz kompletny zestaw narzędzi do paraliżu infrastruktury IT.
Połączenie modelu afiliacyjnego, obsługi wielu platform, technik ruchu bocznego i mechanizmów utrudniających analizę sprawia, że zagrożenie należy traktować bardzo poważnie. Skuteczna obrona wymaga dziś nie tylko ochrony końcówek, ale także twardego zarządzania tożsamością, segmentacji, monitoringu działań administracyjnych i realnie przetestowanej strategii odtwarzania.
Źródła
- The Gentlemen Ransomware Expands With Rapid Affiliate Growth — https://www.infosecurity-magazine.com/news/gentlemen-ransomware-rapid/
- #Infosec2024: Ransomware Ecosystem Transformed, New Groups “Changing the Rules” — https://www.infosecurity-magazine.com/news/ransomware-transformed-new-groups/
- Ransomware Enters ‘Post-Trust Ecosystem,’ NCA Cyber Expert Says — https://www.infosecurity-magazine.com/news/ransomware-enters-posttrust/