The Gentlemen: nowa grupa ransomware zwiększa presję na przedsiębiorstwa

Wprowadzenie do problemu / definicja

The Gentlemen to relatywnie nowa grupa ransomware, która w krótkim czasie zaznaczyła swoją obecność w krajobrazie zagrożeń wymierzonych w średnie i duże organizacje. Jej działania wpisują się w model podwójnego wymuszenia, w którym atakujący nie ograniczają się do szyfrowania danych, ale wcześniej je wykradają, aby zwiększyć presję negocjacyjną i utrudnić ofierze powrót do normalnego funkcjonowania.

W praktyce oznacza to, iż incydent wywołany przez The Gentlemen może jednocześnie skutkować przestojem operacyjnym, stratami finansowymi, ryzykiem regulacyjnym oraz poważnymi konsekwencjami reputacyjnymi. To właśnie połączenie zakłócenia działalności i groźby ujawnienia danych sprawia, iż grupa jest szczególnie niebezpieczna dla środowisk korporacyjnych.

W skrócie

The Gentlemen zostało zidentyfikowane jako aktywne zagrożenie w 2025 roku i gwałtownie rozszerzyło skalę działań na różne sektory gospodarki. Publiczne analizy wskazują, iż kampanie tej grupy obejmowały między innymi produkcję przemysłową, budownictwo, ochronę zdrowia oraz branżę ubezpieczeniową.

• Grupa stosuje model podwójnego wymuszenia.
• Ataki obejmują rekonesans, eksfiltrację danych i szyfrowanie systemów.
• Operatorzy wykorzystują techniki unikania detekcji oraz nadużycia uprzywilejowanych kont.
• Obserwowano zdolność do rozprzestrzeniania ładunku ransomware w środowiskach domenowych.
• Zagrożenie dotyczy zarówno systemów Windows, jak i środowisk Linux oraz ESXi.

Kontekst / historia

Pierwsze szersze wzmianki o aktywności The Gentlemen zaczęły pojawiać się latem 2025 roku. Od sierpnia i września zainteresowanie badaczy wyraźnie wzrosło, głównie ze względu na tempo publikowania ofiar oraz dojrzałość stosowanych technik. To sugeruje, iż za operacją mogą stać doświadczeni cyberprzestępcy, którzy wcześniej działali w innych kampaniach ransomware lub korzystali z podobnych narzędzi i procedur.

W analizach pojawia się również pytanie o model działania grupy. Część źródeł wskazuje na cechy zbliżone do ransomware-as-a-service, gdzie istotną rolę mogą odgrywać afilianci. Inne raporty podchodzą do tego ostrożniej, podkreślając brak jednoznacznych dowodów na klasyczny model usługowy. Niezależnie od tej różnicy interpretacyjnej obraz operacyjny pozostaje spójny: The Gentlemen działa w sposób zdyscyplinowany, dobrze rozpoznaje środowisko ofiary i potrafi skalować ataki.

Analiza techniczna

Z publicznych analiz wynika, iż The Gentlemen prowadzi działania etapowo. W fazie dostępu początkowego podejrzewa się wykorzystanie usług wystawionych do internetu lub przejętych poświadczeń. Po uzyskaniu przyczółka operatorzy przechodzą do szczegółowego rozpoznania infrastruktury, w tym mapowania sieci, identyfikacji krytycznych zasobów i enumeracji kont uprzywilejowanych w Active Directory.

W kampaniach przypisywanych tej grupie obserwowano narzędzia do skanowania środowiska oraz skrypty służące do masowego sprawdzania użytkowników i grup administracyjnych. Takie przygotowanie pozwala napastnikom wytypować najbardziej wartościowe systemy, zaplanować ruch boczny i przygotować wdrożenie ransomware na poziomie domeny.

Na kolejnych etapach operatorzy stosują techniki ograniczające skuteczność mechanizmów ochronnych. W publicznych raportach wskazywano między innymi na nadużywanie legalnych sterowników, manipulacje zasadami grupowymi, używanie własnych narzędzi do wyłączania lub obchodzenia produktów bezpieczeństwa oraz zmiany w rejestrze zapewniające trwałość. Pojawiały się także wzmianki o wykorzystaniu systemu zdalnego dostępu oraz szyfrowanych kanałów eksfiltracji danych.

Sam ładunek ransomware wygląda na przygotowany z myślą o środowiskach enterprise. Badacze opisywali mechanizmy ponownego uruchamiania po restarcie, automatyczny restart procesu szyfrowania, elastyczne tempo pracy oraz możliwość dystrybucji dzięki WMI i PowerShell Remoting. W próbkach wskazywano również listy procesów i usług przeznaczonych do zatrzymania przed szyfrowaniem, w tym rozwiązania bazodanowe, backupowe, wirtualizacyjne oraz wybrane narzędzia zdalnego dostępu.

Dodatkowo część analiz wskazuje na obsługę wielu platform, w tym Windows, Linux i ESXi. To szczególnie istotne dla organizacji posiadających zwirtualizowane centra danych, ponieważ skuteczny atak na warstwę hypervisora może doprowadzić do jednoczesnego unieruchomienia wielu usług biznesowych.

Konsekwencje / ryzyko

Ryzyko związane z The Gentlemen wykracza daleko poza samo szyfrowanie plików. W modelu podwójnego wymuszenia choćby skuteczne odtworzenie systemów z kopii zapasowych nie rozwiązuje problemu, jeżeli wcześniej doszło do kradzieży danych. Organizacja przez cały czas może mierzyć się z groźbą ich ujawnienia, naciskiem negocjacyjnym oraz potencjalnymi roszczeniami i obowiązkami regulacyjnymi.

Dla przedsiębiorstw konsekwencje mogą obejmować:

• przestoje operacyjne i wstrzymanie produkcji,
• niedostępność usług biznesowych,
• utratę poufnych informacji,
• wysokie koszty obsługi incydentu i odtwarzania środowiska,
• szkody reputacyjne i utratę zaufania klientów,
• zakłócenia w łańcuchu dostaw oraz realizacji kontraktów.

Szczególnie niepokojące jest to, iż ofiarami padały sektory o wysokim znaczeniu operacyjnym, takie jak produkcja, budownictwo czy ochrona zdrowia. W takich branżach skutki ataku mogą wykraczać poza jedną organizację i wpływać na partnerów, dostawców oraz odbiorców usług.

Rekomendacje

Organizacje powinny traktować aktywność The Gentlemen jako przykład dojrzałego ataku ransomware wymierzonego w środowiska korporacyjne. najważniejsze znaczenie ma ograniczanie dostępu początkowego, w tym pełne wdrożenie MFA, wyłączenie zbędnych usług dostępnych z internetu, regularne łatanie systemów oraz ścisła ochrona kont uprzywilejowanych.

W warstwie detekcji warto monitorować nietypową enumerację domeny, użycie narzędzi administracyjnych do ruchu bocznego, modyfikacje GPO, uruchamianie PowerShell Remoting, masowe zatrzymywanie usług oraz zmiany w kluczach autostartu rejestru. Szczególnej uwagi wymagają również próby dezaktywacji EDR, antywirusa i mechanizmów backupowych.

Duże znaczenie ma segmentacja sieci oraz separacja systemów krytycznych, zwłaszcza platform backupowych, kontrolerów domeny i serwerów wirtualizacji. Kopie zapasowe powinny być regularnie testowane pod kątem odtwarzania, logicznie lub fizycznie odseparowane od środowiska produkcyjnego oraz zabezpieczone przed usunięciem z poziomu kont domenowych.

Plan reagowania powinien uwzględniać scenariusz eksfiltracji danych. Obejmuje to izolację systemów, zabezpieczenie artefaktów, analizę ścieżki ruchu bocznego, reset poświadczeń uprzywilejowanych, ocenę zakresu wycieku oraz ścisłą współpracę zespołów bezpieczeństwa, IT, prawnych i komunikacyjnych. W środowiskach hybrydowych należy dodatkowo uwzględnić zależności z usługami chmurowymi oraz tożsamościami nieludzkimi.

Podsumowanie

The Gentlemen to przykład gwałtownie dojrzewającej operacji ransomware, która łączy skuteczny rekonesans, techniki unikania detekcji, trwałość w systemie oraz model podwójnego wymuszenia. Niezależnie od tego, czy grupa rozwinie się w pełnoprawny ekosystem afiliacyjny, już dziś stanowi istotne zagrożenie dla przedsiębiorstw i infrastruktury o wysokiej wartości biznesowej.

Z perspektywy obrońców najważniejsze pozostaje nie tylko zapobieganie samemu szyfrowaniu, ale również wczesne wykrywanie rekonesansu, nadużywania kont uprzywilejowanych oraz prób wyłączenia zabezpieczeń. Firmy, które połączą twarde kontrole prewencyjne z dojrzałym monitoringiem i gotowością do reagowania, mają największą szansę ograniczyć skutki tego typu incydentów.

Źródła

• Infosecurity Magazine – artykuł źródłowy
• Cybereason – License to Encrypt: The Gentlemen Make Their Move
• Trend Micro – Unmasking The Gentlemen Ransomware: Tactics, Techniques, and Procedures Revealed
• Cybernews – Researchers see global surge in attacks by new ransomware group Gentlemen
• AhnLab ASEC – August 2025 Threat Trend Report on Ransomware