Когда исследователи получили доступ к командно-контрольному серверу прокси-малвари SystemBC, связанной с группировкой The Gentlemen, они обнаружили нечто, что сложно назвать иначе как тихой катастрофой: более 1570 скомпрометированных корпоративных сетей по всему миру, о которых публично не было известно ровным счётом ничего. На собственном сайте утечек The Gentlemen к тому моменту числилось лишь 320 с лишним жертв. Разрыв между публичной картиной и реальным масштабом операции оказался почти пятикратным.
SystemBC существует с 2020 года и давно известен в среде исследователей безопасности. Малварь строит SOCKS5-туннели внутри сети жертвы, общается с C2-серверами через собственный протокол на основе RC4-шифрования и умеет подгружать дополнительные полезные нагрузки — либо записывая их на диск, либо инжектируя напрямую в память. По сути это невидимый транспортный слой, через который операторы могут делать в сети жертвы всё что угодно, пока та ни о чём не догадывается. Среди жертв, идентифицированных на C2-сервере, компании из США, Великобритании, Германии, Австралии и Румынии.
The Gentlemen появились в июле 2025 года и с тех пор работают по классической схеме двойного вымогательства: сначала крадут данные, потом шифруют. Однако то, что отличает их от большинства RaaS-операторов — это агрессивная политика работы с аффилиатами. Группа предлагает партнёрам условия, которые те сами называют лучшими на рынке, и это работает: в сентябре 2025 года Trend Micro опубликовала подробный анализ их тактик, из которого стало ясно, что за несколькими месяцами работы стоит весьма нетривиальная техническая база.
Арсенал группы включает локер, написанный на Go, легитимные драйверы, кастомные вредоносные инструменты, Cobalt Strike и SystemBC. На Windows-системах атака выглядит примерно так: PowerShell-скрипт отключает защиту Windows Defender, убирает мониторинг в реальном времени, добавляет широкие исключения (диск, промежуточный шар, процессы), гасит файрвол, снова включает SMB1 и ослабляет контроль анонимного доступа LSA. Всё это распространяется через злоупотребление объектами групповой политики (GPO) — то есть одним движением накрывается весь домен. Для VMware ESXi набор функций скромнее, но там останавливаются виртуальные машины, через crontab добавляется персистентность и блокируется возможность восстановления.
В плане географии мишеней у группы прослеживается интересная динамика. В третьем квартале 2025 года на Северную Америку приходилось 20% атак. В четвёртом квартале показатель рухнул до 2% — видимо, группа намеренно снижала внимание к себе. В первом квартале 2026-го цифра снова пошла вверх и достигла 13%. Для контекста: другие RaaS-коллективы в среднем держат долю североамериканских жертв на уровне 50%. The Gentlemen пока явно ниже этой планки, хотя неизвестно, надолго ли.
Группа менеджеров Check Point Research во главе с Эли Смаджей изучала конкретные тактики The Gentlemen и пришла к выводу, что группа адаптирует свои техники под конкретного вендора безопасности, установленного у жертвы. То есть перед атакой проводится детальная разведка: кто стоит на защите, как обойти именно эти инструменты. Это уже не штамповка атак по шаблону, а ручная работа.
На фоне The Gentlemen стоит упомянуть и другие группировки, активные в тот же период. По данным ZeroFox, в первом квартале 2026 года зафиксировано 2059 отдельных инцидентов, связанных с программами-вымогателями и цифровым вымогательством. Только в марте 2026-го произошло 747 из них. Тройка лидеров по количеству инцидентов: Qilin — 338, Akira — 197, The Gentlemen — 192. Akira при этом умудряется пройти путь от первоначального проникновения до полного шифрования сети менее чем за час, не оставляя следов обнаружения.
Отдельного внимания заслуживает семейство Kyber, появившееся в сентябре 2025 года. ESXi-вариант написан на C++ и заточен под VMware: шифрует датасторы, при желании завершает виртуальные машины и дефейсит интерфейсы управления. Windows-вариант написан на Rust и содержит экспериментальный модуль, нацеленный на Hyper-V. Авторы не гонятся за изощрённостью — они гонятся за разрушительной эффективностью.
Отраслевая картина тоже показательна. По данным Halcyon из «Отчёта об эволюции программ-вымогателей за 2025 год», в автомобильной промышленности 44% всех киберинцидентов в 2025 году приходится на ransomware, а общее число атак на отрасль за год удвоилось. 69% атак операторы намеренно запускают ночью или в выходные — когда дежурит минимум людей и реакция замедлена. Среди тактик всё активнее используется BYOVD (Bring Your Own Vulnerable Driver): атакующие загружают легитимный, но уязвимый драйвер, чтобы получить привилегии ядра и отключить EDR-инструменты.
Общий вектор, который прослеживается через все эти данные — это не усложнение вредоносного кода, а усложнение операционной модели. Группировки вроде The Gentlemen строят настоящие бизнесы: с партнёрскими программами, специализацией под конкретные цели, общей инфраструктурой и быстрым восстановлением после ударов правоохранителей. Когда одну группу накрывают, аффилиаты перетекают к конкурентам — INC Ransom, Cl0p или новым игрокам. Фрагментация рынка из-за давления властей парадоксально ускоряет конкуренцию, а не снижает её. И пока на C2-сервере одной группы молча лежат данные о 1570 жертвах, о которых никто ещё не написал ни строчки, это соревнование явно идёт не в пользу защитников.
Изображение носит иллюстративный характер
SystemBC существует с 2020 года и давно известен в среде исследователей безопасности. Малварь строит SOCKS5-туннели внутри сети жертвы, общается с C2-серверами через собственный протокол на основе RC4-шифрования и умеет подгружать дополнительные полезные нагрузки — либо записывая их на диск, либо инжектируя напрямую в память. По сути это невидимый транспортный слой, через который операторы могут делать в сети жертвы всё что угодно, пока та ни о чём не догадывается. Среди жертв, идентифицированных на C2-сервере, компании из США, Великобритании, Германии, Австралии и Румынии.
The Gentlemen появились в июле 2025 года и с тех пор работают по классической схеме двойного вымогательства: сначала крадут данные, потом шифруют. Однако то, что отличает их от большинства RaaS-операторов — это агрессивная политика работы с аффилиатами. Группа предлагает партнёрам условия, которые те сами называют лучшими на рынке, и это работает: в сентябре 2025 года Trend Micro опубликовала подробный анализ их тактик, из которого стало ясно, что за несколькими месяцами работы стоит весьма нетривиальная техническая база.
Арсенал группы включает локер, написанный на Go, легитимные драйверы, кастомные вредоносные инструменты, Cobalt Strike и SystemBC. На Windows-системах атака выглядит примерно так: PowerShell-скрипт отключает защиту Windows Defender, убирает мониторинг в реальном времени, добавляет широкие исключения (диск, промежуточный шар, процессы), гасит файрвол, снова включает SMB1 и ослабляет контроль анонимного доступа LSA. Всё это распространяется через злоупотребление объектами групповой политики (GPO) — то есть одним движением накрывается весь домен. Для VMware ESXi набор функций скромнее, но там останавливаются виртуальные машины, через crontab добавляется персистентность и блокируется возможность восстановления.
В плане географии мишеней у группы прослеживается интересная динамика. В третьем квартале 2025 года на Северную Америку приходилось 20% атак. В четвёртом квартале показатель рухнул до 2% — видимо, группа намеренно снижала внимание к себе. В первом квартале 2026-го цифра снова пошла вверх и достигла 13%. Для контекста: другие RaaS-коллективы в среднем держат долю североамериканских жертв на уровне 50%. The Gentlemen пока явно ниже этой планки, хотя неизвестно, надолго ли.
Группа менеджеров Check Point Research во главе с Эли Смаджей изучала конкретные тактики The Gentlemen и пришла к выводу, что группа адаптирует свои техники под конкретного вендора безопасности, установленного у жертвы. То есть перед атакой проводится детальная разведка: кто стоит на защите, как обойти именно эти инструменты. Это уже не штамповка атак по шаблону, а ручная работа.
На фоне The Gentlemen стоит упомянуть и другие группировки, активные в тот же период. По данным ZeroFox, в первом квартале 2026 года зафиксировано 2059 отдельных инцидентов, связанных с программами-вымогателями и цифровым вымогательством. Только в марте 2026-го произошло 747 из них. Тройка лидеров по количеству инцидентов: Qilin — 338, Akira — 197, The Gentlemen — 192. Akira при этом умудряется пройти путь от первоначального проникновения до полного шифрования сети менее чем за час, не оставляя следов обнаружения.
Отдельного внимания заслуживает семейство Kyber, появившееся в сентябре 2025 года. ESXi-вариант написан на C++ и заточен под VMware: шифрует датасторы, при желании завершает виртуальные машины и дефейсит интерфейсы управления. Windows-вариант написан на Rust и содержит экспериментальный модуль, нацеленный на Hyper-V. Авторы не гонятся за изощрённостью — они гонятся за разрушительной эффективностью.
Отраслевая картина тоже показательна. По данным Halcyon из «Отчёта об эволюции программ-вымогателей за 2025 год», в автомобильной промышленности 44% всех киберинцидентов в 2025 году приходится на ransomware, а общее число атак на отрасль за год удвоилось. 69% атак операторы намеренно запускают ночью или в выходные — когда дежурит минимум людей и реакция замедлена. Среди тактик всё активнее используется BYOVD (Bring Your Own Vulnerable Driver): атакующие загружают легитимный, но уязвимый драйвер, чтобы получить привилегии ядра и отключить EDR-инструменты.
Общий вектор, который прослеживается через все эти данные — это не усложнение вредоносного кода, а усложнение операционной модели. Группировки вроде The Gentlemen строят настоящие бизнесы: с партнёрскими программами, специализацией под конкретные цели, общей инфраструктурой и быстрым восстановлением после ударов правоохранителей. Когда одну группу накрывают, аффилиаты перетекают к конкурентам — INC Ransom, Cl0p или новым игрокам. Фрагментация рынка из-за давления властей парадоксально ускоряет конкуренцию, а не снижает её. И пока на C2-сервере одной группы молча лежат данные о 1570 жертвах, о которых никто ещё не написал ни строчки, это соревнование явно идёт не в пользу защитников.
