Gentlemanは、2025年後半に出現した後、急速に拡大して大規模な脅威となった、極めて活発な身代金要求型マルウェアおよび恐喝事業です。
スクラッチから構築するのではなく、このグループはQilin身代金要求型マルウェアエコシステムにリンクされた以前のアフィリエイトネットワークの洗練された継続として運営されています。
「hastalamuerte」として知られるロシア語話者の脅威アクターによって管理されており、このグループは確立された経験を活かして大量の攻撃を実行しています。
この経済的動機のある脅威アクターは、Windows、Linux、NAS、BSD、およびVMware ESXiシステムを含む複数のプラットフォーム全体にわたってエンタープライズ環境を標的としています。
このグループは二重恐喝に大きく依存しており、身代金要求型マルウェアを展開する前に機密ビジネスデータを盗みます。
被害者がバックアップからネットワークを正常に復旧できた場合でも、データ漏露、規制罰金、および評判の毀損の深刻なリスクに直面します。
このグループの運営モデルは、積極的なアフィリエイト採用戦略とより広範なサイバー犯罪アクセス経済に依存しています。
初期ネットワークアクセスは通常、公開されたリモートサービス、危険にさらされた認証情報、または初期アクセスブローカーから購入したアクセスに由来します。
ネットワーク内に入ると、アフィリエイトは構造化された攻撃パスを実行します。
2026年には、Gentlemanは世界で最も活動的な身代金要求型マルウェアグループのトップ2の1つになりました。2026年1月から5月の間に、このグループはダークウェブリークサイト上で公然と352人の被害者を主張しました。
しかし、テレメトリデータはこの数値が彼らの実際の活動を大幅に過小表現していることを明らかにしており、インフラストラクチャトレースは1,570以上のエンタープライズ環境における潜在的な危険を示しています。
攻撃は約70カ国にまたがっており、米国、タイ、フランス、およびエルサルバドルに集中しています。
このグループは価値のあるデータと複雑なネットワークを持つ組織を日和見的に標的としており、主にプロフェッショナルサービス、製造、技術、およびヘルスケアセクターに焦点を当てています。
Gentlemanのマルウェアはビジネス停止を最大化するために特別に設計されたマルチプラットフォーム機能を使用しています。
ESXiおよび仮想化インフラストラクチャへの攻撃により、アフィリエイトはサーバーエステート全体を急速に無効化することができます。levelbluが述べました。
翻訳元: https://cyberpress.org/gentlemen-ransomware-targets-esxi/
