一个名为Gentlemen的网络犯罪组织,正以惊人的速度在勒索软件领域崛起。安全公司Check Point的专家持续追踪该组织后发现,它目前已成为今年受害者数量第二多的勒索软件团伙。自2025年年中成立以来,该组织已公布至少332名受害者,其中仅2026年就超过240人。
Gentlemen采用“勒索软件即服务”模式运作,但其分账策略极度激进。Check Point研究人员在4月指出,该组织向附属成员提供90%的赎金分成,而行业标准通常是80%。这套90/10的分成机制,正在从其他竞争项目中吸走大量经验丰富的攻击者,迅速推高其扩张速度。
攻击路径上,该组织以面向互联网的设备作为入口,包括VPN和防火墙。一旦突破防线,攻击者会在数小时内完成对整个网络的加密。从技术操作到资金分配,整个流程的幕后管理者使用了Zeta88这个昵称。Check Point发现,此人在俄语网络犯罪论坛上此前使用的名号是Hastalamuerte。一次针对该组织后端基础设施的入侵,清晰地揭示出Hastalamuerte就是组装加密器与勒索软件即服务面板、管理付款的人,本质上他就是整个项目的管理员,所有赎金的10%都流入他的手中。
网络情报公司Intel 471的调查显示,Hastalamuerte掌握俄语和英语,自2019年至今在十几个犯罪论坛上注册了账号,包括Exploit、Breachforums、Ramp_V2、BHF、Raidforums和Nulled。其中,2025年1月在Breachforums的注册记录指向了俄罗斯乌德穆尔特共和国首府伊热夫斯克的一个网络地址。而Zeta88于2022年8月在一家英文犯罪论坛Breached的注册信息,同样来自伊热夫斯克,尽管是不同的IP地址。
更早的踪迹出现在2020年。当年Hastalamuerte在Raidforums上使用的注册邮箱是hastalamuerte1488@protonmail.com,其中1488是与白人至上主义相关的数字符号组合。通过开源情报服务Epieos对该邮箱地址进行查询,发现它关联着一个Apple账户以及一个以04结尾的电话号码。Epieos还揭示出,这同一个Protonmail邮箱地址绑定着一个用户名为SantaMuerte的GitHub账号。该账号被标记为私有,但其活动历史显示,账号所有者正在关注和开发多个恶意软件工具及漏洞利用程序。2020年4月,Hastalamuerte在犯罪论坛Nulled上发布了内容。
热门跟贴