The Gentlemen wyprzedza Qilin i staje się najaktywniejszą grupą ransomware - Security Bez Tabu

The Gentlemen wyprzedza Qilin i staje się najaktywniejszą grupą ransomware

Cybersecurity news

Wprowadzenie do problemu / definicja

The Gentlemen to grupa działająca w modelu ransomware-as-a-service, która w 2026 roku zaczęła odgrywać czołową rolę w globalnym krajobrazie zagrożeń. Z perspektywy obrońców to kolejny dowód, że współczesne kampanie ransomware są coraz bardziej zorganizowane, skalowalne i oparte na gotowych usługach dla afiliantów.

W praktyce oznacza to, że sukces przestępców nie zależy już wyłącznie od samego malware’u. Coraz większe znaczenie mają model partnerski, sprawna infrastruktura, instrukcje operacyjne oraz zestawy narzędzi upraszczające przeprowadzanie ataków.

W skrócie

W analizowanym kwartale The Gentlemen odpowiadał za około 300 incydentów ransomware, wyprzedzając Qilin, któremu przypisano około 289 przypadków. Badacze obserwowali łącznie 1368 deklarowanych ofiar przypisywanych 11 grupom ransomware działającym w 99 krajach.

  • The Gentlemen został uznany za najaktywniejszą grupę ransomware w badanym okresie.
  • Wzrost aktywności ma być związany z agresywną rekrutacją afiliantów.
  • Operator dostarcza partnerom gotowe narzędzia i procedury upraszczające realizację ataków.
  • Model ten zwiększa skalę kampanii i obniża próg wejścia dla nowych cyberprzestępców.

Kontekst / historia

Jeszcze wcześniej to Qilin należał do najczęściej obserwowanych operatorów ransomware i przez kilka kwartałów utrzymywał wysoką aktywność. Awans The Gentlemen pokazuje jednak, że rynek cyberwymuszeń pozostaje bardzo dynamiczny, a przestępcze ekosystemy stale konkurują o afiliantów, dostęp do ofiar oraz skuteczniejsze metody działania.

Dodatkowego kontekstu dostarczają wcześniejsze analizy bezpieczeństwa, które wskazywały, że The Gentlemen jest relatywnie nowym, ale szybko rozwijającym się podmiotem. W 2026 roku pojawiły się informacje o wycieku danych dotyczących wewnętrznego funkcjonowania tej operacji, jej zaplecza technicznego oraz relacji z afiliantami.

W kolejnych doniesieniach opisywano również narzędzia wykorzystywane do neutralizowania rozwiązań ochronnych jeszcze przed fazą szyfrowania. To sugeruje, że grupa buduje przewagę nie tylko skalą działalności, ale także dojrzałością techniczną oraz atrakcyjnością swojej oferty dla partnerów.

Analiza techniczna

Najważniejszym elementem sukcesu The Gentlemen wydaje się wysoki poziom standaryzacji ataku. Afilianci nie otrzymują jedynie samego ransomware, lecz cały pakiet operacyjny obejmujący instrukcje, workflow oraz rekomendacje dotyczące wyboru podatnych urządzeń brzegowych jako punktów wejścia.

Taki model przypomina gotowy produkt usługowy. Wiedza operacyjna, która wcześniej zależała od doświadczenia konkretnego operatora, zostaje skodyfikowana i dostarczona w formie praktycznego playbooka. To pozwala szybciej wdrażać kampanie, zwiększać ich powtarzalność i utrzymywać skuteczność nawet przy mniej doświadczonych afiliantach.

W opisywanych działaniach pojawiają się również lekkie narzędzia tunelujące do komunikacji z infrastrukturą dowodzenia oraz techniki związane z szyfrowaniem zasobów SMB na pojedynczych hostach. Dodatkowo wskazywano na użycie narzędzi służących do wyłączania lub obchodzenia zabezpieczeń endpointowych, co może utrudniać wykrycie intruzji i skracać czas potrzebny do przejścia od kompromitacji do szyfrowania danych.

W efekcie The Gentlemen należy postrzegać nie jako pojedynczą rodzinę malware, lecz jako rozwiniętą platformę usługową dla afiliantów. To właśnie połączenie dokumentacji, procedur, narzędzi wspierających i elementów zwiększających skuteczność czyni tę operację szczególnie niebezpieczną.

Konsekwencje / ryzyko

Dla organizacji wzrost aktywności The Gentlemen oznacza realne zwiększenie presji ze strony ransomware. Niższy próg wejścia dla afiliantów przekłada się na większą liczbę aktywnych napastników, którzy mogą równolegle prowadzić kampanie przeciwko wielu podmiotom z różnych branż.

Szczególne ryzyko dotyczy urządzeń brzegowych i usług wystawionych do internetu. Jeśli organizacja nie kontroluje odpowiednio bezpieczeństwa VPN, zapór, koncentratorów zdalnego dostępu czy innych systemów dostępnych publicznie, może stać się łatwym celem dla operatorów korzystających z gotowych instrukcji ataku.

Niebezpieczeństwo rośnie również wtedy, gdy napastnicy potrafią tunelować ruch, wyłączać narzędzia ochronne i ograniczać widoczność działań w środowisku. W takim scenariuszu konsekwencje biznesowe mogą obejmować przestój operacyjny, utratę dostępności systemów, eksfiltrację danych, wysokie koszty odtworzenia środowiska, skutki regulacyjne oraz długotrwałe szkody reputacyjne.

Rekomendacje

Organizacje powinny potraktować wzrost aktywności The Gentlemen jako sygnał do pilnego przeglądu odporności na nowoczesne kampanie ransomware. Priorytetem pozostaje ograniczenie powierzchni ataku na styku z internetem oraz weryfikacja bezpieczeństwa wszystkich kluczowych urządzeń brzegowych.

  • Regularnie aktualizować urządzenia brzegowe i systemy publikowane do internetu.
  • Wymuszać wieloskładnikowe uwierzytelnianie dla dostępu zdalnego i kont uprzywilejowanych.
  • Wyłączać zbędne usługi zdalne oraz monitorować ekspozycję zasobów publicznych.
  • Wzmacniać ochronę endpointów poprzez tamper protection i kontrolę uprawnień administracyjnych.
  • Segmentować sieć, aby ograniczyć ruch boczny i zasięg potencjalnej infekcji.
  • Monitorować nietypowe użycie SMB, narzędzi administracyjnych oraz prób wyłączania usług bezpieczeństwa.
  • Utrzymywać odseparowane, testowane i odporne na modyfikację kopie zapasowe.
  • Przygotować i regularnie ćwiczyć plan reagowania na incydenty ransomware.

W środowiskach SOC warto rozwijać detekcję opartą na zachowaniach, a nie wyłącznie na sygnaturach. Szczególne znaczenie ma wykrywanie tunelowania, anomalii w ruchu sieciowym, prób dezaktywacji EDR lub antywirusa oraz gwałtownego wzrostu operacji na plikach.

Podsumowanie

The Gentlemen stał się w połowie 2026 roku najaktywniejszą obserwowaną grupą ransomware, wyprzedzając Qilin i potwierdzając dalszą ewolucję rynku cyberwymuszeń w stronę modeli usługowych. O obecnej skali zagrożenia decydują już nie tylko liczby ofiar, lecz także zdolność do szybkiego skalowania operacji przez afiliantów korzystających z gotowych narzędzi, procedur i metod obchodzenia zabezpieczeń.

Dla obrońców oznacza to konieczność łączenia klasycznej higieny bezpieczeństwa z dojrzałym monitoringiem, segmentacją sieci, ochroną urządzeń brzegowych i praktycznie przetestowaną gotowością na incydenty ransomware. Organizacje, które nie dostosują się do tego modelu zagrożeń, będą coraz częściej mierzyć się z przeciwnikiem działającym szybciej, sprawniej i na większą skalę.

Źródła

  • https://www.infosecurity-magazine.com/news/the-gentlemen-most-prolific/
  • https://www.infosecurity-magazine.com/news/ransomware-affiliate-gentlemen/
  • https://www.infosecurity-magazine.com/news/gentlekiller-gentlemen-ransomware/
  • https://www.infosecurity-magazine.com/news/gentlemen-ransomware-rapid/
  • https://www.infosecurity-magazine.com/news/ransomware-numbers-rise-despite/