夜雨聆风自2025年下半年以来,一个名为Gentlemen的勒索软件团伙迅速崛起,成为全球网络安全领域最令人警惕的新威胁。这个组织并非新手,安全研究人员认为它很可能是先前勒索软件活动的延续,与麒麟生态系统和一名俄语行为者存在关联。凭借成熟的基础设施和庞大的联盟网络,Gentlemen在短短时间内就跻身最活跃的勒索软件行列。
Gentlemen最值得警惕的特点是其惊人的跨平台攻击能力。它能够同时攻击Windows、Linux、NAS、BSD以及VMware ESXi虚拟化环境。这意味着无论企业使用哪种操作系统,都可能成为目标。尤其危险的是对ESXi服务器的攻击——一旦攻破一台ESXi服务器,攻击者就有可能瘫痪整个数据中心,造成灾难性后果。攻击者通常通过暴露在公网的远程服务、窃取凭证或滥用VPN及防火墙漏洞进入目标网络,随后进行网络侦察、提升权限、关闭安全工具,最后在整个域内部署勒索软件。
与许多勒索团伙一样,Gentlemen采用双重勒索策略——在加密文件之前先窃取大量敏感数据。这种做法的危害远不止于业务中断:即使企业从备份中恢复了系统,被盗的设计文档、财务记录、客户信息等敏感数据仍可能被公开或出售,造成长期的商业和声誉损失。最近有地下论坛声称该组织正以约一万美元的比特币价格出售窃取的数据,泄露的样本中包含凭证文件、内部聊天记录和受害者数据映射。
截至2026年5月,Gentlemen在其公开泄露网站上声称已有352名受害者。然而事件响应数据显示,实际受影响的环境超过1500个,大部分从未出现在公共网站上。这意味着公开披露的受害者可能只是冰山一角。该组织攻击的行业范围极广,专业服务、制造业、技术和医疗保健是重点目标。地理分布上,业务遍及70多个国家,亚太地区、欧洲和美洲占比最大,而俄罗斯和独联体国家不在攻击目标之列,这与典型的勒索软件攻击模式相符。
对于企业而言,Gentlemen的崛起带来了几个必须正视的风险。首先,任何暴露在公网的远程服务都可能成为入口点,必须强制执行多因素认证。其次,虚拟化环境尤其是ESXi服务器需要额外加固。再者,数据窃取带来的长期风险可能比加密本身更严重。安全专家建议组织优先保障远程访问服务安全,监控特权账户的异常活动,确保备份具有弹性和隔离性,并将检测重点放在勒索软件部署之前的早期行为上。随着Gentlemen不断扩大其规模,这个跨平台勒索势力正成为一个持续演变的全球性威胁。
