ザ・ジェントルメン集団は、最近2026年最も多くの被害をもたらしたランサムウェア企業の一つと賞賛されていたにもかかわらず、今や大規模なデータ流出の被害者となってしまいました。内部通信が公開されており、これらの恐喝者たちの平凡でありながら掠奪的な活動が明らかにされています:標的の選定、攻撃の調整、インフラ管理、防御システムを回避するための計算された操作です。
流出の初期報告は5月4日にBreachedフォーラムに浮上しました。匿名のアクターは盗まれたデータを当初ビットコインで10,000ドルの身代金で販売リストに登録していましたが、その後MediaFireハイパーリンクを提供し、アーカイブを一般に無料でアクセス可能にしました。
DynaRiskの脅威インテリジェンス責任者であるMilivoje Raičによると、流出には約8,200行の内部チャットログ、侵害されたシステムの画像、およびモスクワに本拠地を置く専門的なスケジュールとおおよそ一致する時間マーカーが含まれています。資料には、VPNアクセス、OpenConnect、コマンド・アンド・コントロール装置、ペイロード配信、EDRソリューションの無効化、アクティブディレクトリ内のドメイン管理者権限への昇格に関する詳細な議論が示されています。
これらの対話は、侵入がFortinetネットワーク機器の盗まれた認証情報から頻繁に開始されたことを示唆しています。侵害された環境に対する遠隔支配を維持するため、ザ・ジェントルメンのメンバーはGitHub上のオープンソースZeroPulseリポジトリを定期的に利用していました。暗号化を展開する前に、攻撃者はネットワークを仮想化サーバー、バックアップリポジトリ、NASストレージ、およびExchangeサーバーについて入念に調査し、被害者への心理的圧力を最大化し、復旧努力を妨害することを目的としていました。
流出したデータには、内部報酬およびハードウェア取得に使用されるビットコインアドレスも含まれています。さらに、ログはザ・ジェントルメンがSonyおよびBarclaysとの秘密保持契約に拘束された企業を侵害し、合意に至らない場合は機密文書を公開すると脅迫していたことを示しています。
同シンジケートは5月2日、Bedrock Safeguardから同時に打撃を受けました。同社は支払いを回避する公開復号化ツールを発表しました。企業は基本的な暗号化アルゴリズムを破ることはしませんでしたが、その実装における構造的脆弱性を悪用しました:一時的な暗号化キーがプロセスメモリ内に不注意により保存されていました。実験的テストでは、専門家は35個中35個のファイルを正常に復元し、キー取得プロセスは1秒以下で完了しました。
ザ・ジェントルメンは2025年半ばにRansomware-as-a-Service(RaaS)事業として登場しました。2026年4月までに、彼らのリークポータルには要求に応じることを拒否した340以上の組織が掲載されていました。ZeroFoxによれば、シンジケートはアフィリエイトに身代金の最大90%を約束し、暗号化を避けて純粋なデータ盗難に関わる恐喝活動では97%まで引き上げていました。復号化ツールの公開後、恐喝者たちは素早くマルウェアを更新し、セキュリティコミュニティの対抗措置に適応する犯罪集団の顕著な機動力を示しました。
