Киберпреступная группа, известная как The Gentlemen, стала второй по активности группой вымогателей по количеству жертв, привлекая талантливый хакеров благодаря агрессивной стратегии вербовки, которая обещает партнерам 90 процентов от любого выкупа, выплаченного жертвами. В этой статье разберем улики, указывающие на реальную личность администратора группы вымогателей The Gentlemen.
Подпишись на наш канал в телеграме , там ты найдешь огромное количество качественного контента, без инфошума и воды!
Эксперты компании по информационной безопасности Check Point Software внимательно следили за деятельностью The Gentlemen — занимающихся «вымогательство как услуга» (ransomware-as-a-service, RaaS), которое щедро платит партнерам за помощь в распространении вредоносного ПО группы.
«Распределение дохода между партнёрами в соотношении 90/10 — по сравнению с отраслевым стандартом 80/20 — ускоряет рост группы, привлекая опытных операторов из конкурирующих программ», — написали исследователи в апреле.
Check Point установила, что The Gentlemen является второй по активности группой вымогателей по количеству жертв в этом году, заявив о как минимум 332 опубликованных жертвах с момента создания группы в середине 2025 года и более чем о 240 только в 2026 году.
По данным Check Point, группа нацеливается на устройства, доступные из интернета (VPN, межсетевые экраны), используя их как точку входа, и, оказавшись внутри, быстро переходит к шифрованию целых сетей в течение нескольких часов.
Check Point сообщает, что администратор группы использует псевдоним Zeta88 на русскоязычных киберпреступных форумах и что ранее этот человек был известен под прозвищем Hastalamuerte. Check Point отметила, что взлом инфраструктуры группы прояснил, что Hastalamuerte/Zeta88 — человек, который отвечает за локер, RaaS-панель, управляет платежами и по сути является администратором всей программы, получая 10 процентов от всех выкупов.
КТО ТАКОЙ HASTALAMUERTE?
Компания по киберразведке Intel 471 рассказала, что пользователь Hastalamuerte — это русско и англоговорящий человек, который зарегистрировался почти на десятке киберпреступных форумов в период с 2019 года по настоящее время, включая Exploit, Breachforums, Ramp_V2, BHF, Raidforums и Nulled.
Hastalamuerte зарегистрировался на Breachforums в январе 2025 года с интернет-адреса в Ижевске, Удмуртия. Аналогичным образом, пользователь Zeta88 зарегистрировался на англоязычном киберпреступном форуме Breached в августе 2022 года с другого интернет-адреса в Ижевске.
Intel 471 обнаружили, что Hastalamuerte зарегистрировался на Raidforums в 2020 году, используя адрес электронной почты hastalamuerte1488@protonmail.com (1488 — распространённая комбинация двух числовых символов, ассоциирующихся с превосходством белой расы). Поиск по этому адресу в сервисе разведки на основе открытых источников Epieos показывает, что он связан с учетной записью в Apple и с номером телефона, оканчивающимся на 04.
Epieos сообщает, что этот адрес Protonmail также связан с учётной записью GitHub под именем пользователя SantaMuerte. Эта учетная запись помечена как приватная, но история активности данного пользователя показывает, что он отслеживает и разрабатывает ряд вредоносных инструментов и эксплойтов.
В апреле 2020 года Hastalamuerte написал на форуме Nulled, что с ним можно связаться в мессенджере Telegram по нику @hastalamuerte18. Этому нику присвоен уникальный Telegram ID 30907522.
Сервис отслеживания утечек Constella Intelligence сообщает, что Telegram ID пользователя Hastalamuerte связан с другим именем пользователя — «bu4vs» — с российским номером телефона 79127650004. Анализ этого номера телефона по утечкам показал, что он присвоен некоему Александру Андреевичу Япаеву, 36-летнему мужчине из Ижевска.
Этот номер телефона использовался для создания учётной записи на Pikabu под именем «4apai18», а также на ряде веб-сайтов под распространённой фамилией Иванов либо «Chapaev» (цифра 4 в русском языке часто используется как обозначение для звука «ч»).
Поиск среди участников киберпреступных форумов с ником SantaMuerte показал учётную запись с тем же именем, созданную в 2020 году на российском хакерском форуме Codeby. Этот пользователь изначально зарегистрировался на Codeby под другим ником — Alexandr 4apaev.
Япаев регулярно использовал адрес электронной почты bu4vs@mail.ru. Этот адрес связан с учётной записью LinkedIn Александра Япаева, который указывает себя в качестве руководителя B2B-маркетинга в компании «Уралэнерго Удмуртия», одного из крупнейших российских поставщиков электротехнической и осветительной продукции.
Япаев не ответил на многочисленные запросы и комментарии.
Почти каждый раз, когда мы публикуем одну из этих историй, читателям интересно узнать, почему создается впечатление, что так много киберпреступников из России, по всей видимости, мало что делают для сокрытия своих настоящих личностей. Правда заключается в том, что — будь то русские или нет — большинство из них вовсе не ставят себе цель стать заядлыми преступниками, а вместо этого постепенно втягиваются в эту историю на протяжении нескольких лет по мере того, как расширяются и оттачиваются их навыки.
Еще одна важная закономерность заключается в том, что российское правительство, как правило, либо привлекает к сотрудничеству, либо игнорирует киберпреступную деятельность в пределах своих границ до тех пор, пока хакеры не воруют у российского бизнеса и граждан или не атакуют их. В результате успешные киберпреступники в России обычно защищены от судебного преследования и ареста со стороны иностранных правоохранительных органов при условии, что они время от времени платят нужным людям и не выезжают за границу. А киберпреступники, которые намереваются строго придерживаться этих неписаных правил, могут (по крайней мере, поначалу) меньше заботиться о сокрытии своих следов в сети.
Но самое простое объяснение состоит в том, что киберпреступники всех национальностей склонны допускать ряд базовых ошибок в области операционной безопасности на ранних этапах своей карьеры, когда они менее опытны и им гораздо меньше есть что терять из-за своей неосторожности. Обзор ранних публикаций Hastalamuerte на криминальных форумах (примерно 2019–2020 годов) показывает относительно неискушенного и малоквалифицированного хакера, который всё ещё пытается освоиться и заработать положительную репутацию в этих сообществах.
Например, в июне 2020 года учётная запись Hastalamuerte в Telegram присоединилась к многомесячной обучающей программе (@pntst), чтобы научиться использовать популярные инструменты для тестирования на проникновение. Публикации показывают, что Hastalamuerte с трудом справлялся с этими инструментами.
Исследовательская группа по угрозам PRODAFT опубликовала подробный отчёт об истории и текущей деятельности The Gentlemen. PRODAFT сообщила, что её выводы соответствуют той же персоне с «высокой степенью уверенности», и обнаружила, что администратор (Zeta88/Hastalamuerte) напрямую предоставляет аффилированным лицам первоначальный доступ, в первую очередь учётные данные Fortinet SSL-VPN, полученные путём атак методом перебора (brute-force) либо взятые из собственной базы данных утечек группы. Они также обнаружили, что администратор использует ИИ для разработки и поддержки программы-вымогателя и связанного с ней инструментария, а также для содействия на этапе постэксплуатации.
Подпишись на наш канал в телеграме , там ты найдешь огромное количество качественного контента, без инфошума и воды!
