新たに2つのRansomware-as-a-Service(RaaS)グループが公開アフィリエイト募集を行い、ランサムウェア市場の急速な再集約と熟練オペレーターをめぐる競争の激化が浮き彫りになっています。
hyflock123というハンドルネームを使う人物が5月14日、「Duty-Free」にスレッドを投稿し、LockBitおよびQilinとの関与を主張しながら「Hyflock」の立ち上げを発表しました。
翌日には、The Gentlemen RaaSグループの創設者兼管理者であるhastalamuerteがBreachForumsで大規模な募集キャンペーンを展開し、アフィリエイトに90%の収益分配を提示しました。BreachForumsは5月16日にこのパートナーシップを公式に認めています。
これら2つの立ち上げは、リークサイトの被害者数が2,122件に達し、記録上Q1として2番目に多い件数を記録した四半期に行われたものです。大規模組織の元メンバーが蓄積した知識を新たなブランドとして作り直している実態を示しています。
防御側にとって重要なインテリジェンスが明らかになっています。The Gentlemenは驚異的なスピードで規模を拡大し、2025年Q4の40件から2026年Q1には166件へと315%増加しました。この成長により、一部のフォーラムベースのランキングでグローバル3位に浮上しており、Check Pointによる外部追跡結果とも一致しています。
公開されている募集要項では、経済的メリットと自律性が強調されています。アフィリエイトは身代金の90%を受け取り、被害者との交渉を自らコントロールでき、ランサムノートにアフィリエイトの連絡先が自動的に埋め込まれたビルドを受け取ることができます。
オペレーターは、ファイルごとのエフェメラル鍵を用いた最新の暗号化技術を採用したGo言語ベースのクロスプラットフォーム対応ロッカー(Windows、Linux、NAS、BSD対応)と、C言語で書かれたコンパクトなESXiロッカーを宣伝しています。
特筆すべき点として、Gentlemenのロッカーは管理者権限なしに動作すると主張しており、ディスクI/Oを最小化し、単純なファイル名変更検知を回避するモードを備えています。これにより、多くのエンドポイントでの振る舞い検知の必要性が一層高まっています。
Gentlemen RaaS、166件の被害者規模へ拡大
Hyflockの公開ピッチは、主張される経歴と統合ツールを中心に展開されています。hyflock123はLockBitおよびQilinでの経験を主張していますが、これは自己申告であり独立した検証はできません。初期アクセスの購入、自動交渉ルーム、AIによる被害者分析、専用レッドチームをアフィリエイト支援のために組み合わせた「オールインワン」パネルを提供するとしています。
flareによると、Hyflockは高速な暗号化(「LockBitの2倍の速度」というマーケティング上の主張はサードパーティベンチマークによる裏付けがありません)と、初回作業後にアフィリエイトに有利になるスライド式の手数料体系を約束しています。
同グループが際立っているのは、アクセスブローカー、交渉、展開を一つのインターフェースに統合したマーケットプレイスモデルです。これにより、侵入からランサムウェア実行までの時間が短縮され、効果的な攻撃に必要なスキルの障壁がさらに低下しています。
こうした動きは、市場が再集約化しつつある状況の中で起きています。フォーラム分析と外部追跡によると、2026年Q1の被害者のうち約71%が上位10のランサムウェアグループによるものであり、規模の優位性が働く中で、積極的なアフィリエイト経済が競争上の切り札となっています。
Gentlemenの90%提供とHyflockの80〜85%への急速な引き上げは、既存のオペレーターに対してアフィリエイトに有利な分配率で追随するよう圧力をかけており、ペンテスターやアクセスブローカーを新興ブランドへ移行させる誘因ともなっています。
防御側にとっての意味は明確です。昇格された権限なしに動作するより高速でよりステルス性の高い暗号化、GPOベースの横展開、クラウドバックアップの明示的な標的化に対応するため、検知および対応の手法を見直すことが求められます。
Linux、NAS、ESXi、権限昇格なしのWindowsプロセスに対する振る舞いベースの監視を優先し、急速なファイル部分書き込みや異常なグループポリシーの変更をログに記録してアラートを発令し、反証されるまではあらゆる暗号化イベントをデータ流出インシデントとして扱ってください。
フォーラムやリークサイトでのアフィリエイト募集やアクセスリストを早期警告シグナルとして監視してください。Flare、Check Point、その他の脅威インテリジェンスソースは関連スレッドを数時間以内にインデックス化しており、新たなRaaSの参入者が以前の大規模オペレーションから技術を引き継いでいる可能性も考慮する必要があります。
アフィリエイト獲得競争は今やランサムウェアにおける技術革新の原動力となっており、防御側はこれらのより高速でアクセスしやすい脅威に対抗するため、キルチェーンのより早い段階で検知を実施する必要があります。
翻訳元: https://gbhackers.com/gentlemen-raas-scales-to-166-victims/
