夜雨聆风
一、事件时间线:从4VPS被黑到数据免费公开
The Gentlemen 是一个于 2025年年中 浮出水面的RaaS组织。据网络安全公司SOCRadar观察,该组织从一开始就“毫无善意可言”。然而,它的命运在2026年5月初发生了逆转。
根据DataBreaches网站的报道,事件源头可追溯至 2026年5月2日:托管服务商 4VPS 发布公告称,其网站和计费系统遭遇攻击,但坚称核心基础设施和客户数据未受影响。由于4VPS长期以来以服务于地下网络活动者而闻名,这一事件迅速引起广泛关注。
数日内,暗网便出现了声称与The Gentlemen相关的数据兜售信息,业内人士普遍认为泄露源正是托管于4VPS的资产。关于该组织遭遇数据泄露的公开线索最早出现在 2026年5月4日:一名用户在网络犯罪论坛 Breached 上发布帖子,标题为“The Gentlemen – hacked data for sale”,要价 10,000美元(以比特币支付),声称可提供“完整数据”,并应要求提供样本。
目前尚不清楚是否有人支付了这笔款项。但在 2026年5月8日(周五),同一用户在文件分享网站 MediaFire 上发布了一个链接,供任何人 免费下载 被盗数据。
The Gentlemen随后在暗网论坛上作出回应,承认其 部分基础设施确实托管在4VPS上,并确认攻击者获取了他们的 NAS(网络附加存储)凭证。不过,该组织声称,攻击者数周的数据外泄尝试均告失败,原因是“入侵者缺乏必要的IP”。该组织还表示,控制面板和加密锁(lockers)从未被访问,并借机宣布将进行通信系统大修,计划在 “胜利日”(Victory Day,即5月9日) 上线一台容量“几乎无限”的新NAS,同时升级一批加密锁基础设施。然而,正如DataBreaches所评论的:“如果泄露的数据得到验证,该组织声明的准确性将令人怀疑。”
二、泄露内容:8200行内部对话与莫斯科时间戳
网络安全公司 DynaRisk 的威胁情报负责人 Milivoj Rajić 一直在仔细分析泄露的数据。他表示,这些材料之所以极具价值,是因为它们 实时展示了现代勒索软件生态系统的运营层面,包括基础设施管理、目标选择、后端开发和操作安全(OPSEC)实践。
据Rajić披露,泄露的通信内容包含:
来自某个内部聊天工具的 8,200行文本;
受感染系统的截图;
消息时间戳与按 莫斯科时间 工作的人员作息高度吻合。
三、技术战术:从Fortinet初始访问到EDR Killer
聊天记录显示,该组织成员日常讨论的技术话题涵盖广泛,反映出当代RaaS团伙的技术关切:
初始访问:通过 OpenConnect 获取受害者VPN连接的访问权限;许多入侵始于 Fortinet 边缘网络设备的 被盗凭证;
载荷投递:如何使用命令与控制(C2)软件推送恶意载荷;
远程管理:经常使用开源的 ZeroPulse GitHub仓库 来远程管理受感染的系统;
防御规避:如何禁用端点安全工具、绕过端点检测与响应(EDR)系统,以及如何使用 “EDR Killer” 工具;
权限提升:修改组策略对象(Group Policy Objects),在Active Directory中获取 “域管理员” 权限,从而获得对IT环境的不受限制的访问;
虚假CVE脚本 带来的困扰;
技术学习:哪些YouTube视频最适合用来提升技术能力。
泄露文件中还包含一个 当前正在使用的比特币钱包地址,用于处理来自受害者的赎金支付。
四、攻击策略:大规模侦察与精准破坏
Rajić指出,这些消息凸显了该组织对 大规模勒索软件感染 的专注,包括“加密企业基础设施”以及“在跨网络启动加密之前准备环境”。
为实现这一目标,该组织通常会进行 大量侦察工作:“该组织不会立即部署勒索软件,而是仔细绘制环境地图,搜索虚拟化基础设施、备份系统、NAS设备和关键服务器,以最大化攻击影响。”
攻击者还采用了 “离地攻击”(living-off-the-land)策略,即使用合法的企业IT管理工具,这使得识别恶意活动变得更加困难。他们特别关注以下目标:
NAS系统
Exchange服务器
存储阵列
备份基础设施
Rajić强调:“攻击者具体聚焦于NAS系统、Exchange服务器、存储阵列和备份基础设施——这是勒索软件的常见手段,旨在阻止加密后的数据恢复。”
五、受害者清单:索尼、巴克莱与340+未支付者
泄露的消息显示,The Gentlemen声称已成功入侵 索尼(Sony) 和 巴克莱银行(Barclays),据称从每家窃取了 约1TB数据,还包括保密协议(NDA)的细节。该组织一直威胁称,如果不支付赎金,就将公开这些协议。
根据第三方统计数据,The Gentlemen的受害者规模相当可观:
据网络安全公司 S-RM 报告,截至 2026年4月,该组织已在其数据泄露网站上列出了 超过340名未支付赎金的受害者。
安全研究机构 RaaS Tracker 的数据显示,该组织已确认 402名受害者,首次被发现于 2025年9月9日,最近一次受害者记录出现在 2026年5月9日。此外,一台被入侵的C2服务器在2026年曝光了超过1,570个关联受害者。
受害者遍布 70个国家。
在研究人员将其列为活跃网络犯罪企业之时,该组织已在 泰国和美国 积累了一打以上的受害者。
到 2025年底,其受害者名单已扩展至 制造业、医疗保健和保险机构,此外还在 圣诞节期间 对罗马尼亚国有电力生产商 Complexul Energetic Oltenia 造成了破坏。
目前尚不清楚有多少受害者向该组织支付了赎金,也不清楚其总获利金额。
六、商业模式:90%分成、当日补丁与数据-only勒索新策略
The Gentlemen通过暗网网站定期招募附属成员(affiliates),宣传其基于 Go语言 开发的恶意软件能够实现 “静默加密”,可针对 Windows、Linux、NAS、BSD和ESXi 系统。该组织依赖 初始访问中介(initial access brokers),承诺与其分享收益,同时也利用被盗凭证市场(即信息窃取恶意软件收集的日志“云”)来获取访问受害者的途径。
在利润分配方面,该组织向附属成员承诺 每笔赎金的90% 作为基础分成,剩余部分归运营方。2026年4月,该组织更新了分成方案:对于 仅进行数据勒索(不加密系统) 的攻击,附属成员将获得 97% 的赎金。网络安全公司 ZeroFox 分析认为,这一转变很可能表明该组织试图 “适应市场环境,并吸引那些偏好较低操作风险的附属成员”。
值得注意的是,该勒索软件运营方具备 快速更新 其加密恶意软件的能力。2026年4月,加拿大网络安全公司 Bedrock Safeguard 的研究人员发布了一款针对该组织恶意软件的 免费解密器。作为回应,“该组织当天就发布了补丁,展现了其高度响应性的开发周期”,ZeroFox的研究人员指出。
七、讽刺与警示
The Gentlemen的遭遇堪称网络犯罪世界中“一报还一报”的典型案例。一个以勒索他人、泄露数据为威胁手段的组织,最终自己也未能幸免于同样的命运。
此次事件的价值远不止于讽刺。8,200行内部聊天记录、实时运营截图、技术讨论与战术细节,为网络安全研究人员提供了一个罕见的窗口,得以窥见现代RaaS组织的内部运作机制。从初始访问(Fortinet凭证)到权限提升(域管理员),从防御规避(EDR Killer)到数据外泄,从利润分成的商业策略(90%-97%分成)到当天打补丁的技术响应能力——这些信息无疑将帮助防御方更好地理解威胁,制定更有效的应对策略。
而对于The Gentlemen而言,正如DataBreaches所暗示的,其在攻击后发布的“一切尽在掌控”的声明,在已泄露的证据面前,恐怕难以让人信服。截至2026年5月11日,RaaS Tracker数据显示该组织已 “不活跃2天”,攻击速度较上月 下降58%。这场“绅士”的滑铁卢,或许正是网络犯罪生态中权力平衡的一次微小但意味深长的转移。
参考文献
Mathew J. Schwartz, “Tables Turned: Gentlemen Ransomware Group Suffers Data Leak,” Bank InfoSecurity, May 11, 2026. https://www.bankinfosecurity.com/tables-turned-gentlemen-ransomware-group-suffers-data-leak-a-31654
Dissent, “The Gentlemen Ransomware Group Becomes a Victim,” DataBreaches, May 11, 2026. https://databreaches.net/2026/05/11/the-gentlemen-ransomware-group-becomes-a-victim/
RaaS Tracker, “Thegentlemen” 组织档案(Active RaaS),数据更新至2026年5月11日。
