The Gentlemen публично появилась во второй половине 2025 года и быстро вошла в число самых заметных групп вымогателей. Cyber Security News пишет, что к 10 мая 2026 года группа заявила о 352 атаках только за неполную первую половину года, а её жертвы распределены более чем по 70 странам. Чаще всего в списках фигурируют профессиональные услуги, производство, технологические компании и здравоохранение.
The Gentlemen работает как RaaS — ransomware-as-a-service, то есть «вымогательство как сервис». Оператор поддерживает шифровальщик, инфраструктуру, панель управления, сайт утечек и переговорные механики, а партнеры получают доступы в сети компаний и проводят атаки. Check Point указывает, что группа предлагает исполнителям 90% от выкупа против более привычных для рынка 80%. Такая экономика помогает переманивать опытных участников из других программ.
Группа не ограничивается Windows. В её наборе есть инструменты для Windows, Linux, NAS, BSD и VMware ESXi. Для компаний это критично: один инцидент может ударить не только по рабочим станциям, а сразу по серверам, сетевым хранилищам и виртуализации. ESXi особенно болезненная цель, потому что шифрование гипервизора или остановка виртуальных машин может выключить целый серверный парк за минуты.
Windows-версия написана на Go и требует пароль при запуске. Это мешает раннему анализу в песочницах: без правильного параметра образец может не показать реальное поведение. После запуска файлы получают случайные шестизначные расширения, а на зараженных системах появляется READMEGENTLEMEN.txt. Маленькие файлы шифруются полностью, крупные — частями, чтобы ускорить проход по большим хранилищам и все равно сделать восстановление без ключа крайне сложным.
Перед шифрованием вредонос останавливает службы, связанные с базами данных, резервным копированием, виртуализацией и удаленным доступом. Это не случайный набор действий: атакующим важно не просто зашифровать файлы, а сломать штатный сценарий восстановления. Если резервные копии подключены к тому же домену или доступны с тех же админских учеток, они становятся частью зоны поражения.
Доступ получают через открытые наружу сервисы, VPN, межсетевые экраны, шлюзы удаленного доступа, украденные учетные данные и брокеров начального доступа. Check Point отдельно выделяет незакрытые edge-устройства и скомпрометированные логины как главные точки входа.
После входа атака развивается быстро: разведка Active Directory, проверка учетных данных, боковое перемещение, отключение средств защиты, подготовка шифровальщика и массовый запуск через групповые политики. The Hacker News в пересказе исследования Check Point отмечает использование Group Policy Objects для доменного развёртывания — это сценарий, при котором один захваченный домен-контроллер превращается в механизм доставки шифровальщика по всей сети.
Момент появления записки о выкупе — уже финал атаки. Реальное окно обнаружения находится раньше: странные админские входы, сканирование сети, массовое подключение к хостам, запуск AnyDesk или WinSCP не там, где они обычно используются, изменение GPO и массовая остановка служб.
Сайт утечек показывает только часть картины: туда обычно попадают компании, которые не заплатили или с которыми идёт давление через публикацию данных. Check Point получил доступ к серверу управления SystemBC, связанному с одним из партнёров The Gentlemen, и обнаружил более 1 570 потенциально корпоративных жертв. Это заметно больше публичных заявлений группы.
SystemBC — это прокси-вредонос, который создает SOCKS5-туннели внутри зараженной среды и связывается с управляющим сервером через собственный RC4-зашифрованный протокол. Он может загружать и запускать дополнительные вредоносные компоненты.
The Hacker News приводит два C2-адреса, связанные с SystemBC в этой истории: 91.107.247.163 и 45.86.230.112. Эти индикаторы полезны для ретроспективного поиска, но полагаться только на IOC нельзя: инфраструктура таких групп быстро меняется, а партнеры могут использовать собственные серверы и инструменты.
Читайте также: Типичному киберпреступнику не 18, а 35–44 года
У группы просматривается связь с экосистемой Qilin. The Gentlemen выглядит как продолжение предыдущей активности ransomware-партнёров, связанной с Qilin, а управление приписывают русскоязычному актору hastalamuerte. Check Point тоже указывает на администратора zeta88 / hastalamuerte, которого связывает с бывшей ролью партнёра Qilin.
Внутренняя структура выглядит как небольшой криминальный сервис. Check Point описывает примерно девять операторов вокруг администратора, который управляет платформой, выплатами, панелью RaaS и участвует в самих атаках. В утечке внутренних данных группы, которую исследователи изучали после компрометации её бэкенд-инфраструктуры, фигурировали чаты, переговоры с жертвами, списки участников и обсуждения инструментов.
Отдельная деталь — использование ИИ-помощников для разработки. Check Point пишет, что администратор использовал DeepSeek и Qwen и смог собрать RaaS-панель за три дня при помощи таких инструментов.
The Gentlemen активно работает с доменной инфраструктурой. В атаке может использоваться массовое развертывание через GPO, доступ к NETLOGON и SYSVOL, удаленная остановка сервисов и отключение защитных механизмов. The Hacker News указывает, что во время бокового перемещения операторы пытаются ослепить Windows Defender на достижимых хостах: отключить защиту в реальном времени, добавить широкие исключения, выключить firewall, вернуть SMB1 и ослабить отдельные ограничения LSA.
Trend Micro ещё в 2025 году описывала кампанию The Gentlemen с использованием легитимных драйверов, манипуляций групповыми политиками, собственных анти-AV утилит и скомпрометированных привилегированных аккаунтов. Такая техника известна как BYOVD — Bring Your Own Vulnerable Driver. Атакующий приносит подписанный, но уязвимый драйвер, получает доступ на уровне ядра и использует его против EDR или антивируса.
В ESXi-версии функциональность уже, чем в Windows-варианте, но она умеет выключать виртуальные машины, закрепляться через crontab и мешать восстановлению перед запуском шифрования. Для бизнеса это прямой риск простоя: один гипервизор может держать десятки критичных сервисов, и их остановка бьёт сразу по продажам, логистике, ERP, почте, CRM и внутренним порталам.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
