- 27,678
- 46
- 8 Ноя 2022
Gentlemen стала одной из самых опасных хакерских групп 2026 года всего за несколько месяцев.
Банда вымогателей Gentlemen решила не ждать, пока её сообщники сами найдут способ отключить защиту в атакованных сетях. Вместо этого операторы группировки собрали для партнёров целый набор инструментов, которые мешают работе защитных решений и помогают довести атаку до того, чтобы зашифровать данные.
Специалисты ESET несколько месяцев изучали инструменты Gentlemen и пришли к выводу, что группировка поддерживает собственный набор средств, чтобы отключать защитное программное обеспечение. Такой подход выделяет Gentlemen среди многих других операторов вымогательских схем, где подобные инструменты обычно подбирают сами партнёры, проводящие взломы.
Gentlemen появилась в конце 2025 года и уже в первом квартале 2026 года вошла в число самых активных группировок, работающих по модели « вымогательское ПО как услуга». Операторы предлагают партнёрам до 90% выкупа, а сами поддерживают вредоносную инфраструктуру, сайт с утечками, шифровальщики и дополнительные инструменты для атак.
Главным элементом набора ESET называет GentleKiller. Это внутренняя разработка Gentlemen, у которой уже нашли не менее восьми вариантов. Каждый маскируется под легитимный продукт и злоупотребляет уязвимым или вредоносным драйвером, чтобы завершать процессы защитных решений. По данным ESET, GentleKiller нацелен более чем на 400 процессов, связанных с 48 продуктами безопасности, среди которых Avast, AVG, Bitdefender, CrowdStrike, Kaspersky.
В набор также входят сторонние инструменты HexKiller, ThrottleBlood и HavocKiller. ESET считает, что Gentlemen не разрабатывала их сама, а получила извне, после чего адаптировала под свои атаки. При этом все инструменты оформлены по схожей схеме: файлы получают имена, похожие на продукты известных компаний, поддельные сведения о версиях, скопированные подписи и значки легитимных программ.
Особую тревогу вызывает скорость, с которой Gentlemen берёт на вооружение свежие приёмы. По оценке ESET, группировка способна освоить недавно опубликованные техники и уже через несколько дней атаковать через уязвимые драйверы – сразу после того, как появляется открытое описание.
У Gentlemen есть ещё одна особенность. В отличие от многих крупных банд вымогателей, группировка не сосредоточена на США. Её жертв находили в Юго-Восточной Азии, Южной Америке и Западной Европе, включая Таиланд, Бразилию и Францию. Утекшие внутренние данные показали, что цели выбирают не столько по географии, сколько по ошибкам в конфигурации FortiGate.
Утечка внутренних данных Gentlemen в мае 2026 года помогла ESET подтвердить прежнюю гипотезу: операторы группировки действительно сами поддерживают набор средств, чтобы отключать защиту, и раздают его проверенным партнёрам. В той же утечке специалисты связали с одним из партнёров Gentlemen похититель учётных данных OxideHarvest, написанный на Rust.
ESET считает Gentlemen одной из самых технически гибких группировок в экосистеме вымогателей в 2026 году. Централизованный набор инструментов снижает порог входа для партнёров и делает атаки более предсказуемыми для самих операторов. Для защитников такой подход мешает расследовать атаки: отдельный образец вредоносного инструмента может выглядеть как чужая разработка, хотя в атаке его использует инфраструктура Gentlemen.
Банда вымогателей Gentlemen решила не ждать, пока её сообщники сами найдут способ отключить защиту в атакованных сетях. Вместо этого операторы группировки собрали для партнёров целый набор инструментов, которые мешают работе защитных решений и помогают довести атаку до того, чтобы зашифровать данные.
Специалисты ESET несколько месяцев изучали инструменты Gentlemen и пришли к выводу, что группировка поддерживает собственный набор средств, чтобы отключать защитное программное обеспечение. Такой подход выделяет Gentlemen среди многих других операторов вымогательских схем, где подобные инструменты обычно подбирают сами партнёры, проводящие взломы.
Gentlemen появилась в конце 2025 года и уже в первом квартале 2026 года вошла в число самых активных группировок, работающих по модели « вымогательское ПО как услуга». Операторы предлагают партнёрам до 90% выкупа, а сами поддерживают вредоносную инфраструктуру, сайт с утечками, шифровальщики и дополнительные инструменты для атак.
Главным элементом набора ESET называет GentleKiller. Это внутренняя разработка Gentlemen, у которой уже нашли не менее восьми вариантов. Каждый маскируется под легитимный продукт и злоупотребляет уязвимым или вредоносным драйвером, чтобы завершать процессы защитных решений. По данным ESET, GentleKiller нацелен более чем на 400 процессов, связанных с 48 продуктами безопасности, среди которых Avast, AVG, Bitdefender, CrowdStrike, Kaspersky.
В набор также входят сторонние инструменты HexKiller, ThrottleBlood и HavocKiller. ESET считает, что Gentlemen не разрабатывала их сама, а получила извне, после чего адаптировала под свои атаки. При этом все инструменты оформлены по схожей схеме: файлы получают имена, похожие на продукты известных компаний, поддельные сведения о версиях, скопированные подписи и значки легитимных программ.
Особую тревогу вызывает скорость, с которой Gentlemen берёт на вооружение свежие приёмы. По оценке ESET, группировка способна освоить недавно опубликованные техники и уже через несколько дней атаковать через уязвимые драйверы – сразу после того, как появляется открытое описание.
У Gentlemen есть ещё одна особенность. В отличие от многих крупных банд вымогателей, группировка не сосредоточена на США. Её жертв находили в Юго-Восточной Азии, Южной Америке и Западной Европе, включая Таиланд, Бразилию и Францию. Утекшие внутренние данные показали, что цели выбирают не столько по географии, сколько по ошибкам в конфигурации FortiGate.
Утечка внутренних данных Gentlemen в мае 2026 года помогла ESET подтвердить прежнюю гипотезу: операторы группировки действительно сами поддерживают набор средств, чтобы отключать защиту, и раздают его проверенным партнёрам. В той же утечке специалисты связали с одним из партнёров Gentlemen похититель учётных данных OxideHarvest, написанный на Rust.
ESET считает Gentlemen одной из самых технически гибких группировок в экосистеме вымогателей в 2026 году. Централизованный набор инструментов снижает порог входа для партнёров и делает атаки более предсказуемыми для самих операторов. Для защитников такой подход мешает расследовать атаки: отдельный образец вредоносного инструмента может выглядеть как чужая разработка, хотя в атаке его использует инфраструктура Gentlemen.
- Источник новости
- www.securitylab.ru
