Gentlemen勒索软件攻击 Windows、Linux、NAS、BSD 和 ESXi一个名为“绅士”的勒索软件组织一直在悄悄构建近年来最激进的网络犯罪行动之一。该组织于2025年下半年公开出现,迅速扩大活动规模,到2026年初成为全球最活跃的两大勒索软件威胁之一。这个群体的独特之处不仅在于其速度,更在于其针对系统的广泛性以及其规模的增长。
该团队已在包括 Windows、Linux、NAS、BSD 和 VMware ESXi 系统在内的多种企业环境中展现了能力。其攻击遵循有组织的工作流程,从通过被盗凭证或暴露的远程服务获得初始访问权限,到在整个网络中部署勒索软件。该组织还在锁定系统前窃取数据,利用被盗信息作为额外杠杆,施压受害者支付费用。分析师在与网络安全新闻(CSN)分享的一份报告中表示,The Gentlemen 并非全新成立的行动。这似乎是之前与麒麟生态系统相关的勒索软件关联活动的延续,据称由一名名为“hastalamuerte”的讲俄语的行为者管理。这一背景使团队领先一步,拥有现有知识、联盟网络和运营经验。截至2026年5月10日,该组织在未完成的上半年公开宣称发生了352起袭击事件。泄露网站数据显示,受害者披露遍及70多个国家,其中亚太、欧洲、拉丁美洲和北美均占较多。专业服务、制造业、技术和医疗行业占据了已知受害者的最大份额。暗网监控还发现了一条未经证实的情报线索,涉及有人以 1 万美元的价格提供据称从绅士们内部系统中提取的数据。提供的材料包括看似演员账号、受害者谈判内容和文件映射数据。虽然目前尚无法确认其真实性,但它为本已复杂的行动增添了重要层面。Windows 版本采用 Go 编程语言构建,执行时要求密码,帮助团队避免早期检测和沙盒分析。加密文件会随机获得六个字符的扩展名,受影响的系统会收到一封名为 READMEGENTLEMEN.txt 的勒索信。加密方法旨在尽快最大化伤害。较小的文件会被完全加密,而较大的文件则只部分加密成块,这使得勒索软件能够更快地在大型环境中移动,同时在没有解密器的情况下恢复仍然极为困难。在锁定文件之前,恶意软件首先会停止与数据库、备份、虚拟化平台和远程访问工具相关的服务,以防止文件被轻易恢复。攻击 ESXi 和虚拟化基础设施尤其具有破坏性,因为它可能在几分钟内瘫痪整个服务器。该组织的附属小组支持这一模式,允许运营商生成定制有效载荷、管理受害者谈判、估算赎金收入,并从单一结构化后端处理被盗数据上传。攻击模式不仅限于文件加密。该组织利用被盗数据作为施压策略的核心,威胁如果受害者拒绝付款,将在泄露网站上发布敏感文件。即使是从备份中恢复系统的组织,仍可能面临数据暴露、监管后果和持久的声誉损害。安全团队应从审查所有面向互联网的基础设施开始,特别是 VPN、防火墙和远程访问门户,并对所有特权账户强制实施多因素认证。关键信号包括异常的管理登录、Nmap 或高级 IP 扫描器等扫描工具、意外使用 AnyDesk 或 WinSCP,以及任何组策略修改或大规模服务关闭的迹象。
夜雨聆风
