Des chercheurs en sécurité ont identifié un nouveau groupe de ransomware connu sous Gentlemen le nom de Cyber Hunter, qui a mené des attaques d’extorsion contre des organisations dans plusieurs régions. Les enquêteurs ont signalé des activités liées au groupe dans au moins 17 pays à travers l’Amérique du Nord, l’Amérique du Sud, la région Asie-Pacifique et le Moyen-Orient. L’ampleur de la campagne suggère que le groupe opère à grande échelle et est capable de soutenir des attaques coordonnées contre un large éventail de cibles.
Le Gentlemen groupe est apparu pour la première fois à la mi-2025 et a rapidement commencé à faire des victimes dans plusieurs secteurs. Les cibles rapportées incluent des organisations dans la fabrication, la construction, la santé et l’assurance. Les analystes ont indiqué que ces secteurs dépendent souvent de la disponibilité continue des systèmes et gèrent des données sensibles, ce qui les rend attrayants pour les opérateurs de ransomware cherchant à maximiser la pression lors des tentatives d’extorsion.
Le groupe utilise un modèle de double extorsion qui combine chiffrement de fichiers et vol de données. Après avoir accédé à un réseau, les attaquants chiffrent les systèmes critiques et exfiltrent des informations sensibles. Les victimes sont alors menacées de divulguer publiquement les données volées si les demandes de paiement ne sont pas satisfaites. Les chercheurs ont indiqué que cette approche augmente le levier en créant à la fois des perturbations opérationnelles et des conséquences juridiques ou réputationnelles potentielles.
Les enquêtes sur les méthodes du groupe indiquent un haut niveau de capacité technique. Les analystes ont observé l’utilisation de pilotes système légitimes pour contourner les contrôles de sécurité et d’outils personnalisés conçus pour désactiver les logiciels de protection. Les attaquants effectuent également une reconnaissance détaillée des réseaux ciblés avant de déployer un ransomware, ce qui leur permet d’adapter leurs techniques à l’environnement rencontré. Cette flexibilité a rendu la détection et le confinement plus difficiles pour les organisations concernées.
L’opération Gentlemen serait basée sur un modèle de ransomware en tant que service. Dans cette structure, les opérateurs principaux développent et maintiennent le malware tandis que les affiliés fournissent l’accès aux réseaux victimes ou assistent au déploiement. En échange, les affiliés reçoivent une part des paiements de rançon. Les chercheurs ont indiqué que ce modèle permet une expansion rapide en permettant à plusieurs acteurs de participer sans avoir à construire leur propre infrastructure à partir de zéro.
Les victimes ont signalé des perturbations importantes après les attaques attribuées au groupe. Les systèmes chiffrés ont interrompu les activités commerciales et contraint les organisations à suspendre leurs services pendant que les efforts de reconstruction étaient en cours. Dans les cas de vol de données, les organisations faisaient face à des risques supplémentaires liés à l’exposition des données, à la conformité réglementaire et à la perte de confiance. Les analystes ont déclaré que même lorsque les systèmes sont restaurés, la menace de fuite de données peut persister.
Les spécialistes de la cybersécurité ont indiqué que l’émergence de Gentlemen met en lumière des changements continus dans l’activité des ransomwares. Les groupes combinent de plus en plus la sophistication technique avec des tactiques d’extorsion affinées pour améliorer les taux de réussite. Les experts ont conseillé aux organisations de se concentrer sur des mesures préventives telles que des sauvegardes hors ligne régulières, des contrôles d’accès stricts et une surveillance continue en cas d’activités inhabituelles. Ils ont également souligné l’importance de la planification de la réponse aux incidents pour limiter les dégâts en cas d’intrusion.
Les chercheurs ont indiqué que la campagne démontre que le ransomware reste une menace persistante et évolutive. La diffusion de nouveaux groupes reflète Gentlemen une tendance plus large où les opérations cybercriminelles s’adaptent et s’étendent rapidement, nécessitant une attention soutenue de la part d’organisations de tous secteurs.