Исследователи в области безопасности выявили новую группу вымогателей, известную как Gentlemen MA, которая осуществляет вымогательские атаки против организаций в различных регионах. Исследователи сообщили о активности, связанной с группой, как минимум в 17 странах Северной и Южной Америки, Азиатско-Тихоокеанского региона и Ближнего Востока. Масштаб кампании свидетельствует о том, что группа действует в больших масштабах и способна проводить скоординированные атаки на широкий спектр целей.
Gentlemen Группа впервые появилась в середине 2025 года и быстро начала заявлять жертв в различных отраслях. Среди заявленных целей — организации в производстве, строительстве, здравоохранении и страховании. Аналитики отметили, что эти секторы часто зависят от постоянной доступности систем и управления конфиденциальными данными, что делает их привлекательными для операторов программ-вымогателей, стремящихся максимизировать давление во время попыток вымогательства.
Группа использует модель двойного вымогательства, сочетающая шифрование файлов с кражей данных. Получив доступ к сети, злоумышленники шифруют критически важные системы и извлекают конфиденциальную информацию. Жертвам угрожают публичное раскрытие украденных данных, если требования по оплате не будут выполнены. Исследователи отметили, что такой подход увеличивает рычаги влияния, создавая как операционные сбои, так и возможные юридические или репутационные последствия.
Исследования методов группы свидетельствуют о высоком уровне технических возможностей. Аналитики наблюдали использование легитимных системных драйверов для обхода контроля безопасности и кастомизированных инструментов, предназначенных для отключения защитного ПО. Злоумышленники также проводят детальную разведку целевых сетей перед развертыванием программ-вымогателей, что позволяет им адаптировать свои методы к окружающей среде. Такая гибкость усложнила выявление и сдерживание затронутых организаций.
Считается, что операция Gentlemen использует модель вымогателя как услугу. В рамках этой структуры основные операторы разрабатывают и поддерживают вредоносное ПО, а аффилированные партнеры предоставляют доступ к сетям жертв или помогают с развертыванием. В обмен аффилированные лица получают долю выкупа. Исследователи отметили, что эта модель обеспечивает быстрое расширение, позволяя нескольким участникам участвовать без необходимости создавать собственную инфраструктуру с нуля.
Жертвы сообщили о значительных нарушениях после нападений, приписываемых группе. Зашифрованные системы приостановили бизнес-операции и вынудили организации приостановить сервисы, пока шли работы по восстановлению. В случаях, связанных с кражей данных, организации сталкивались с дополнительными рисками, связанными с раскрытием данных, соблюдением нормативных требований и потерей доверия. Аналитики отметили, что даже при восстановлении систем угроза утечки данных сохраняется.
Специалисты по кибербезопасности отметили, что появление подчёркивает Gentlemen продолжающиеся изменения в активности программ-вымогателей. Группы всё чаще сочетают техническую сложность с усовершенствованными тактиками вымогательства для повышения успеха. Эксперты посоветовали организациям сосредоточиться на профилактических мерах, таких как регулярные офлайн-резервные копирования, строгий контроль доступа и постоянный мониторинг необычной активности. Они также подчеркнули важность планирования реагирования на происшествия, чтобы минимизировать ущерб в случае вторжения.
Исследователи отметили, что кампания демонстрирует, что вымогатели остаются постоянной и постоянно развивающейся угрозой. Распространение новых групп отражает Gentlemen более широкую тенденцию, при которой киберпреступные операции быстро адаптируются и расширяются, требуя постоянного внимания со стороны организаций во всех секторах.