Beveiligingsonderzoekers hebben een nieuwe ransomwaregroep geïdentificeerd, bekend als een groep Gentlemen die afpersingsaanvallen heeft uitgevoerd op organisaties in meerdere regio’s. Onderzoekers meldden activiteiten die met de groep geassocieerd waren in minstens 17 landen in Noord-Amerika, Zuid-Amerika, de regio Azië-Pacific en het Midden-Oosten. De omvang van de campagne suggereert dat de groep op grote schaal opereert en in staat is gecoördineerde aanvallen op een breed scala aan doelen uit te voeren.
De Gentlemen groep verscheen voor het eerst halverwege 2025 en begon al snel slachtoffers te claimen in verschillende sectoren. Gerapporteerde doelstellingen omvatten organisaties in de productie, bouw, gezondheidszorg en verzekeringen. Analisten zeiden dat deze sectoren vaak afhankelijk zijn van continue systeembeschikbaarheid en gevoelige gegevens beheren, waardoor ze aantrekkelijk zijn voor ransomware-operators die de druk willen maximaliseren tijdens afpersingspogingen.
De groep gebruikt een dubbel afpersingsmodel dat bestandsversleuteling combineert met datadiefstal. Na toegang tot een netwerk versleutelen aanvallers kritieke systemen en exfiltreren ze gevoelige informatie. Slachtoffers worden vervolgens bedreigd met openbaarmaking van de gestolen gegevens als niet aan de betalingseisen wordt voldaan. Onderzoekers zeiden dat deze aanpak de hefboomwerking vergroot door zowel operationele verstoring als potentiële juridische of reputatiegevolgen te veroorzaken.
Onderzoeken naar de methoden van de groep wijzen op een hoog niveau van technische bekwaamheid. Analisten observeerden het gebruik van legitieme systeemdrivers om beveiligingscontroles te omzeilen en aangepaste tools die beschermende software uitschakelen. De aanvallers voeren ook gedetailleerde verkenning uit van doelnetwerken voordat ze ransomware inzetten, waardoor ze hun technieken kunnen aanpassen aan de omgeving die ze tegenkomen. Deze flexibiliteit heeft detectie en containment voor getroffen organisaties moeilijker gemaakt.
Men denkt dat de Gentlemen operatie gebruikmaakt van een ransomware-as-a-service-model. Onder deze structuur ontwikkelen en onderhouden kernoperators de malware, terwijl affiliates toegang bieden tot slachtoffernetwerken of helpen bij de uitrol. In ruil daarvoor ontvangen affiliates een deel van losgeldbetalingen. Onderzoekers zeiden dat dit model snelle uitbreiding mogelijk maakt doordat meerdere actoren kunnen deelnemen zonder dat ze hun eigen infrastructuur vanaf nul hoeven te bouwen.
Slachtoffers meldden aanzienlijke verstoring na aanvallen die aan de groep werden toegeschreven. Versleutelde systemen hebben bedrijfsactiviteiten stilgelegd en organisaties gedwongen diensten op te schorten terwijl de herstelwerkzaamheden gaande waren. In gevallen van datadiefstal liepen organisaties extra risico’s met betrekking tot blootstelling aan data, naleving van regelgeving en verlies van vertrouwen. Analisten zeiden dat zelfs wanneer systemen worden hersteld, de dreiging van gelekte data kan blijven bestaan.
Cybersecurity-specialisten zeiden dat de opkomst van Gentlemen de voortdurende veranderingen in ransomware-activiteiten benadrukt. Groepen combineren steeds vaker technische verfijning met verfijnde afpersingstechnieken om de slagingspercentages te verbeteren. Experts adviseerden organisaties zich te richten op preventieve maatregelen zoals regelmatige offline back-ups, strikte toegangscontroles en continue monitoring van ongewone activiteiten. Ze benadrukten ook het belang van incidentresponsplanning om schade te beperken bij een inbraak.
Onderzoekers zeiden dat de campagne aantoont dat ransomware een aanhoudende en evoluerende dreiging blijft. De verspreiding van nieuwe groepen zoals Gentlemen weerspiegelt een bredere trend waarbij cybercriminele operaties zich snel aanpassen en uitbreiden, wat voortdurende aandacht vereist van organisaties uit alle sectoren.