Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Ушёл по-английски. Бывший партнёр вымогателей Qilin обиделся на коллег и завёл личный шифровальщик

leer en español

The Gentlemen Group-IB Hastalamuerte Qilin Fortinet вымогатели шифровальщик
Ушёл по-английски. Бывший партнёр вымогателей Qilin обиделся на коллег и завёл личный шифровальщик
The Gentlemen Group-IB Hastalamuerte Qilin Fortinet вымогатели шифровальщик

История о том, как жадность одних породила дерзость других.

image

На фоне десятков вымогательских брендов новая группировка The Gentlemen быстро вышла из тени не за счёт необычных приёмов, а благодаря жёсткой и хорошо отлаженной схеме атак. В свежем отчёте Group-IB говорится, что команда собрала набор уже проверенных инструментов, активно использует чужой опыт и делает ставку на массовую эксплуатацию уязвимых внешних сервисов, слабых паролей и ошибок в защите корпоративных сетей.

По данным авторов отчёта, The Gentlemen выросла из ArmCorp, активного партнёра программы Qilin, а управляет операцией злоумышленник под ником «Hastalamuerte». Первые следы собственного шифровальщика появились ещё 17 июля 2025 года, за несколько дней до публичного конфликта с операторами Qilin на теневом форуме RAMP. В Group-IB считают, что спор из-за невыплаченной доли стал не причиной ухода, а удобным поводом для запуска самостоятельной схемы вымогательства.

Основной путь проникновения связан с CVE-2024-55591 в FortiOS и FortiProxy. Уязвимость позволяет обойти проверку подлинности и получить административный доступ к устройствам Fortinet. После взлома участники The Gentlemen создают скрытые учётные записи, выгружают конфигурации, закрепляются через VPN и пытаются развивать атаку внутри сети. В распоряжении группы, как утверждает Group-IB, была база примерно из 14 700 уже скомпрометированных FortiGate и ещё 969 проверенных VPN-учётных данных, полученных подбором паролей.

Дальше операция развивается по знакомому, но опасному сценарию. Злоумышленники отключают защитные средства, в том числе с помощью уязвимых подписанных драйверов, очищают журналы событий, крадут данные через Rclone, маскируют инструменты под легитимные утилиты и распространяются по домену через SMB, RDP, WMI и групповые политики. В отчёте также упомянуты попытки изучить SonicWall, Cisco ASA и Oracle E-Business Suite, а ещё разбор образцов Babuk, LockBit 5.0, Medusa и Qilin, чтобы заимствовать удачные механизмы обхода защиты и шифрования.

Отдельное внимание Group-IB уделила качеству подготовки The Gentlemen. Команда использует NetExec, PowerShell, самописные скрипты для извлечения учётных данных, инструменты для работы с VMware и Veeam, а также сервисы искусственного интеллекта вроде ChatGPT, Gemini и Claude. К осени 2025 года операторы добавили версии шифровальщика для Windows, Linux и ESXi, таймер задержки запуска и более агрессивное распространение по сети.

По оценке Group-IB, жертвами The Gentlemen уже стали около 94 организаций. Аналитики подчёркивают, что главная угроза связана не с уникальностью группировки, а с типовой моделью современного киберкриминала, где участники переходят из одной программы в другую, обмениваются наработками и быстро собирают новые вымогательские проекты из уже известных техник.