事件概述
一个名为“The Gentlemen”的网络犯罪团伙已迅速崛起,成为受害者数量第二多的勒索软件组织。该团伙凭借激进的招募策略——承诺向附属成员支付赎金的90%(行业标准通常为80%),吸引了大量有经验的攻击者加入。安全研究人员通过追踪论坛、即时通讯和邮箱记录,成功将该团伙的管理员——化名Hastalamuerte和Zeta88——与俄罗斯一名36岁男子的真实身份关联起来。
溯源过程
第一步:团伙概况与管理员身份确认
根据安全公司Check Point发布的报告,“The Gentlemen”自2025年中期成立以来,已声称造成至少332名受害者,仅2026年就超过240家。该团伙通常以面向互联网的设备(如VPN、防火墙)为入口点,一旦进入内部,便能在数小时内迅速加密整个网络。
Check Point指出,该团伙的管理员和主要操作者在俄语网络犯罪论坛上使用昵称Zeta88,此人此前曾使用化名Hastalamuerte。2026年5月,该团伙后端基础设施遭到攻击,内部数据库被泄露。这次泄露事件确认了Hastalamuerte/Zeta88是该团伙的实际掌控者,负责构建勒索软件和RaaS面板、管理付款,并收取所有赎金的10%。
第二步:论坛注册记录指向伊热夫斯克
网络情报公司Intel 471的数据显示,Hastalamuerte是一名会说俄语和英语的人,在近十几个网络犯罪论坛上均有注册,包括Exploit、Breachforums、Ramp_V2、BHF、Raidforums和Nulled等。
Intel 471发现,Hastalamuerte于2025年1月在Breachforums注册,使用的IP地址位于俄罗斯乌德穆尔特共和国首府伊热夫斯克。同样,Zeta88于2022年8月在英语网络犯罪论坛Breached注册,使用的是伊热夫斯克的一个不同IP地址。
第三步:邮箱关联多个账号
Intel 471还发现,Hastalamuerte在2020年注册Raidforums时使用了邮箱hastalamuerte1488@protonmail.com。该邮箱地址中的“1488”是两个数字符号的组合,常与白人至上主义相关联。
开源情报服务Epieos对该邮箱地址的查询显示,它关联着一个Apple账户和一个尾号为“04”的电话号码。此外,该ProtonMail邮箱还关联着一个名为SantaMuerte的GitHub账户。该账户设为私密,但该用户的历史活动显示,他们正在关注和开发多个恶意软件工具和漏洞利用程序。
第四步:Telegram账号锁定手机号码
2020年4月,Hastalamuerte在犯罪论坛Nulled上表示,可以通过Telegram即时通讯账号@hastalamuerte18联系他们。威胁情报公司Flashpoint发现该用户名对应的唯一Telegram ID为30907522。
漏洞追踪服务Constella Intelligence报告称,Hastalamuerte的Telegram ID关联着另一个用户名“bu4vs”以及俄罗斯手机号码79127650004。
第五步:数据库确认身份
在Constella数据库中查询该手机号码,从被泄露的俄罗斯政府数据库中获取的多条记录显示,该号码属于Alexander Andreevich Yapaev,一名36岁来自伊热夫斯克的男子。
第六步:社交媒体与职场信息交叉验证
Constella进一步揭示,该手机号码曾被用于在俄罗斯社交媒体平台Pikabu上创建名为“4apai18”的账户,并显示Yapaev先生曾在多个网站上使用常见姓氏Ivanov或“Chapaev”(在俄语中,数字4常被用作“ch”音的简写)进行注册。
在Intel 471中搜索昵称SantaMuerte的网络犯罪论坛成员,发现2020年在俄罗斯黑客论坛Codeby上有一个同名账户。该用户最初在Codeby注册时使用的昵称是Alexandr 4apaev。
Constella还发现Yapaev经常使用邮箱bu4vs@mail.ru。与此同时,Epieos显示该邮箱关联着一个领英账户,账户名为Alexander Yapaev,他将自己列为Uralenergo Udmurtia公司的B2B营销负责人,该公司是俄罗斯最大的电气技术和照明产品供应商之一。
早期痕迹
回顾Hastalamuerte在犯罪论坛上的早期帖子(约2019-2020年),显示出一个相对缺乏经验和技能的黑客仍在努力学习技巧并试图在这些社区中赢得声誉。例如,2020年6月,Hastalamuerte的Telegram账户加入了一个为期数月的培训项目,学习如何使用流行的渗透测试工具,而他们在该黑客训练营中的帖子显示,Hastalamuerte在有效使用这些工具方面遇到了困难。
信息来源:https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/
本文仅基于公开信息整理,旨在提升公众网络安全意识,不涉及或支持任何非法活动。
夜雨聆风