出典:Guy Corbishley via Alamy Stock Photo
世界で最も猛威を振るっているランサムウェア組織の一つが、自らが侵害されることで、その内部構造に対するユニークな洞察をもたらしました。
2026年の最初の5ヶ月間だけで、「ジェントルメン」と名乗るロシアのサイバー犯罪ギャングは、約332の異なる組織に属する機密データを公開しています。身代金を支払った被害者はリークサイトに含まれないため、確実にそれ以上に多くの組織を侵害しています。Check Point Researchによると、これらの数字は「ジェントルメン」を今年の世界で2番目に生産性の高いランサムウェアグループにしており、Qilinにわずかに及びません。
5月4日または直前に、匿名グループが内部バックエンドデータベースを侵害したとき、「ジェントルメン」は同じ目に遭いました。これらのハッカーは現在、「ジェントルメン」の内部通信、ツール、その他のデータの16GB強をビットコインで10,000ドルで売却しています。
「これは評判上のダメージですが、それが彼らの活動を大きく妨害したり、有効性を減らすことは期待していません」と、Check Pointの製品R&Dグループマネージャーである Eli Smadja氏は述べています。それでも、匿名ハッカーが残りの真正性を証明するために流出させた盗まれたデータの44MBでさえも、興味深いことが判明しています。Check Point Researchはサンプルを分析し、「ジェントルメン」の運用構造、戦術、手法、および手続き(TTP)、ならびに彼らの特癖についての新しい洞察を得ました。
ジェントルメンの活動方法
頭領の「ジェントルメン」はオンラインで「zeta88」として知られています。Zeta88はグループのロッカーマルウェアを構築・維持し、それを取り巻くツールをキュレーションし、すべてのインフラを運営するなどしています。彼らはまた、ターゲットを選択し、2~3人の仲間のジェントルメンをそれらのターゲット攻撃に割り当て、交渉と支払いを管理しています。
Zeta88の作戦担当者は「qbit」と「quant」です。Qbitは脆弱なエッジデバイスのスキャン、偵察、ターゲット環境への永続性の確立を専門とし、quantはログと認証情報経由のアクセス獲得を専門としています。7人の足軽からなるサードグループには、レッドティマー、アクセスブローカー、さらには広告スペシャリストが含まれています。流出したサンプルでは証拠がありませんが、おそらく、いくつかのアフィリエイトがこの10人の円の周りを周回しています。
サイバー犯罪者の集団を企業ピラミッドに強制することは良いアイデアに聞こえないかもしれませんが、力の構造は下位レベルの協力者向けの寛大な支払いモデルによってバランスが取られています。「ジェントルメン」が被害者から支払いを脅迫するたびに、zeta88はそれの10%を得ますが、関係する他のハッカーは残りの90%を分割して得ることができます。
Smadjaはまた、グループの成功を、その厳密な組織構造に起因するものとしています。「グループ内での責任の明確な分割も主要な役割を果たしています。よく運営されている組織と同様に、定義されたロールとワークフローを持つことは、より高い生産性に直結し、彼らの場合、成功した侵害のより高い量に直結しています」と彼は述べています。
彼は、厳密な運営に加えて、「グループの主な強みの一つは、アフィリエイトとして立ち上がり、操作を一から理解している主任管理者の実践的な関与です。主要なRaaS管理者がアフィリエイトの背景から来たことは、彼らに大きなアドバンテージを与え、驚くほど短い時間で最上位層に到達するのを助けました」と述べています。
ジェントルメンについて知っておくべき他のこと
「ジェントルメン」は、ターゲットシステムに侵入し、約30の異なるツールと組み合わせてロッカーをサポートするために、重大な既知の脆弱性と悪用技術を利用しています。エンドポイント検出応答(EDR)とアンチウイルスプログラムを回避するための、さまざまなスキャナーとVPN、システムへのリモートアクセス獲得用ツール、および脆弱なドライバを持ち込む戦術などの複数の技術を使用しています。Check Pointはツールセットを「かなり成熟している」と説明していますが、特に独自ではありません。
メンバーは、いくつかの曖昧な悪意のある目的のために社内の大規模言語モデル(LLM)ベースのプログラムを開発するなど、より先端的なアイデアを試してみています。彼らはすでにコード開発を支援するためにLLMを使用していますが、彼らの夢はより大きいですが、現在の人工知能(AI)技術の実践的な制限が邪魔になっています。3日間でadminパネルを「vibe-coded」したと報告した後、zeta88は「たとえ[ニューラルネットワーク]があっても、すべてを理解し、クレイジーのように考える必要があります。なぜなら彼らはすべてダムだからです(賢い場合でも)」と警告しました。
ジェンツはまた、ランサムウェアビジネスの同僚との関係を保ち、彼らについてゴシップを広げ(ドラゴンフォース:クール、カオス:中程度)、同時に彼らから学んでいます。自らの将来の前兆となった流出チャットの一つで、ギャングは昨年のBlack Bastaリークから利益を得る方法を議論しました。彼らの最大の関心は、同僚のコード署名へのアプローチでした。
Smadjaは、「ジェントルメン」自身の侵害が他のハッカーを大いに教化することはないだろうと考えています。「彼らが構築したものは経験の産物であり、リークで開示されたものは何も秘密の公式や独自の技術的利点を明かしていません」と彼は述べています。「リークは他のアフィリエイトが独自のRaaS操作を立ち上げるよう刺激する可能性がありますが、いくつかの確立されたグループがすでに90/10の支払い分割を提供しているため、独自の操作を構築することはほとんどの人にとって明らかに魅力的ではありません。」
翻訳元: https://www.darkreading.com/threat-intelligence/gentlemen-raas-gang-data-leak
