The Gentlemen to grupa ransomware działająca od połowy 2025 roku w modelu Ransomware-as-a-Service (RaaS). Łączy szyfrowanie danych z kradzieżą i groźbą ich publikacji, czyli tzw. podwójną ekstorsją, a swoje ataki poprzedza szczegółowym rozpoznaniem środowiska ofiary, podobnie jak robią to grupy APT. Nazwa nawiązuje do tytułu filmu Guya Ritchiego i to nieprzypadkowe skojarzenie: grupa sama je podsyca, budując na swoim leak site dopracowany branding z logo i mottem.
Za elegancką fasadą kryje się jednak jeden z najbardziej metodycznych zespołów ransomware, jakie pojawiły się w 2025 roku, a jak się później okazało, także jedna z najszybciej rosnących operacji RaaS w historii tego biznesu. The Gentlemen nie działają na zasadzie "zaszyfruj i uciekaj". Zanim uderzą, dokładnie sprawdzają, jakim oprogramowaniem zabezpieczającym broni się ofiara i dobierają narzędzia pod konkretny cel.
Kiedy pojawiła się grupa The Gentlemen
Najwcześniejszy potwierdzony atak grupy sięga 30 czerwca 2025 roku. Ofiarą padła JN Aceros, peruwiańska firma z branży stalowej. Grupa działała więc po cichu na długo zanim ktokolwiek o niej usłyszał. Publicznie The Gentlemen pojawili się dopiero pod koniec sierpnia 2025 roku, gdy badacze Trend Micro natrafili na trwającą kampanię ransomware wymierzoną w wiele organizacji jednocześnie. 9 września 2025 roku Trend Micro opublikował szczegółową analizę technik grupy i to właśnie ten raport stał się punktem odniesienia dla większości późniejszych opracowań.
Witryna z wyciekami danych na Torze ruszyła na przełomie sierpnia i września 2025 roku. Od samego początku The Gentlemen prowadzą swoją stronę na Torze z dopracowanym brandingiem, logo i mottem, nawiązującym do tytułu filmu Guya Ritchiego. To akurat potwierdzają niezależnie różne źródła z tamtego okresu, więc nie jest to element przypadkowy, tylko świadomie budowany wizerunek, który miał odróżnić grupę od anonimowych, chaotycznych operacji ransomware.
Od momentu uruchomienia leak site liczba ofiar rosła w tempie, które zaskoczyło badaczy. We wrześniu 2025 mówiono o kilkudziesięciu, a w listopadzie 2025 roku Cyber Security News donosił już o 48 opublikowanych ofiarach. Jak się okazało kilka miesięcy później, to był dopiero rozruch.
Jak działa atak ransomware The Gentlemen: łańcuch ataku krok po kroku
To, co odróżnia The Gentlemen od typowych grup ransomware, to konsekwencja w działaniu. Każdy etap ataku jest przemyślany, a gdy coś nie działa, grupa się adaptuje.
Dostęp początkowy: ataki na urządzenia FortiGate
Zdecydowanie najczęściej wykorzystywanym wektorem jest atak na urządzenia FortiGate: brute-force paneli administracyjnych SSL-VPN, wykorzystywanie słabych lub domyślnych danych logowania oraz kradzież konfiguracji urządzenia. W jednym z udokumentowanych przez Trend Micro przypadków punktem wejścia był serwer FortiGate z panelem administracyjnym odsłoniętym bezpośrednio w internecie. Przejęte konto administratora zapory posłużyło do dalszego rozpoznania sieci od środka. Grupa korzysta też z konkretnych podatności w produktach Fortinet i Cisco, żeby dostać się do infrastruktury zarządzającej siecią
Rozpoznanie środowiska
Zanim cokolwiek zaszyfrują, The Gentlemen dokładnie mapują środowisko. Używają Advanced IP Scanner do szybkiego zwiadu po sieci i Nmap do szczegółowego skanowania usług. Skrypt wsadowy o nazwie 1.bat wylicza ponad 60 kont domenowych, sprawdzając grupy administratorów domeny, administratorów przedsiębiorstwa i grupy związane z wirtualizacją, na przykład VMware. Tym samym przygotowuje grunt pod ruch lateralny zarówno na fizycznej, jak i wirtualnej infrastrukturze.
Obejście zabezpieczeń EDR techniką BYOVD
To najbardziej charakterystyczny element ich operacji. Grupa wykorzystuje legalny, podpisany sterownik ThrottleStop.sys, przemianowany na ThrottleBlood.sys, w którym znaleziono podatność CVE-2025-7771. Dzięki niej narzędzia All.exe i jego ulepszona wersja Allpatch2.exe uzyskują uprawnienia na poziomie jądra systemu i są w stanie zakończyć procesy rozwiązań bezpieczeństwa, które normalnie są chronione przed wyłączeniem. To klasyczna technika BYOVD, czyli Bring Your Own Vulnerable Driver. Z czasem grupa rozwinęła cały zestaw takich narzędzi do wyłączania EDR-ów. Kolejne wersje powstawały właśnie wtedy, gdy któraś z nich przestawała działać na konkretnym oprogramowaniu ochronnym. To nie jest gotowy schemat "one-size-fits-all", tylko proces iteracyjny, prowadzony na bieżąco w trakcie kampanii.
Ruch lateralny i utrwalanie dostępu
PsExec służy do zdalnego wykonywania poleceń, a zmiany w rejestrze osłabiają zabezpieczenia uwierzytelniania, między innymi ograniczenia NTLM i ustawienia RDP. Grupa instaluje AnyDesk jako trwały kanał zdalnego dostępu, odporny na typowe działania zespołów reagowania na incydenty.
Manipulacja zasadami grupy (GPO)
The Gentlemen wykorzystują konsolę zarządzania zasadami grupy (GPO), żeby rozprowadzić złośliwy ładunek na wszystkie komputery w domenie naraz. Payload trafia do udziału NETLOGON, co gwarantuje jednoczesną infekcję wszystkich maszyn podłączonych do domeny.
Eksfiltracja danych przed zaszyfrowaniem
Dane są najpierw gromadzone lokalnie, a następnie wyprowadzane przez WinSCP po szyfrowanym połączeniu SFTP. To wybór narzędzia, które łatwo pomylić z legalną aktywnością administracyjną. W bardziej rozbudowanych operacjach grupa korzysta też z rclone i chmury MEGA jako miejsca składowania skradzionych danych przed publikacją.
Szyfrowanie danych i zacieranie śladów
Ransomware, napisany w Go, z osobnym modułem w C do środowisk ESXi, wymaga podania hasła jako parametru uruchomieniowego, co utrudnia automatyczną analizę w piaskownicach. Przed zaszyfrowaniem plików malware zatrzymuje usługi kopii zapasowych (Veeam, Acronis), baz danych (MSSQL, MySQL, Oracle, SAP) i rozwiązań bezpieczeństwa, wyłącza Windows Defender przez PowerShell, usuwa kopie w tle, czyści logi zdarzeń, logi RDP i pliki Prefetch. Zaszyfrowane pliki w wersji z jesieni 2025 otrzymywały rozszerzenie .7mtzhh, a w każdym katalogu lądowała notatka README-GENTLEMEN.txt z identyfikatorem ofiary. Na koniec skrypt wsadowy usuwa sam plik ransomware i siebie.
Kontakt z ofiarą odbywa się przez identyfikator TOX, często udostępniany w formie kodu QR. Grupa unika scentralizowanych portali czatowych, które łatwiej przechwycić albo zablokować.
The Gentlemen w 2026 roku: od nieznanej grupy do jednej z największych operacji RaaS
To miejsce, w którym trzeba zaktualizować wszystko, co napisano o The Gentlemen jesienią 2025 roku. W maju 2026 doszło do włamania do wewnętrznej infrastruktury komunikacyjnej samej grupy. Ktoś wykradł i upublicznił ich czaty, dane logowania i pliki robocze. Dla badaczy bezpieczeństwa to rzadka okazja, żeby zobaczyć kulisy operacji ransomware od środka, a nie tylko z perspektywy ofiar.
Model RaaS z prowizją 90% dla afiliantów
The Gentlemen to klasyczny Ransomware-as-a-Service. Centralny zespół buduje i utrzymuje szyfrator, infrastrukturę oraz panel do negocjacji, a afilianci przeprowadzają same włamania w zamian za prowizję. Grupa oferuje afiliantom aż 90% okupu, czyli jedną z najwyższych stawek w całej branży (dla porównania, standardem rynkowym jest 70 do 80%). Taka hojność szybko przyciągnęła doświadczonych operatorów z innych programów partnerskich, co tłumaczy tempo wzrostu.
Kim jest twórca The Gentlemen
Z wycieku wyłania się postać administratora działającego pod pseudonimami zeta88 i hastalamuerte. Zanim uruchomił własną markę, prowadził zespół afiliancki ArmCorp w ramach programu partnerskiego grupy Qilin. 17 lipca 2025 roku do serwisu VirusTotal trafiła pierwsza znana próbka ransomware The Gentlemen. Pięć dni później ten sam operator publicznie oskarżył Qilin na forum RAMP o zatrzymanie około 48 tysięcy dolarów należnej mu prowizji. Kolejność zdarzeń sugeruje, że budował własną operację, będąc jeszcze formalnie związanym z Qilin, a spór o pieniądze był raczej pretekstem do odejścia niż jego przyczyną. Serwis Krebs on Security, opierając się na wycieku i danych od kilku firm analitycznych, wskazał jako domniemanego operatora Aleksandra Andriejewicza Japajewa. To ustalenie dziennikarskie, nie oficjalne rozpoznanie.
Skala ataków w 2026 roku
Liczby różnią się w zależności od źródła i metody liczenia, ale kierunek jest ten sam: gwałtowny wzrost. Check Point Research naliczył ponad 332 ofiary opublikowane na leak site, z czego ponad 240 tylko w 2026 roku, a po uzyskaniu dostępu do zaplecza grupy ustalił, że rzeczywista liczba ofiar może przekraczać 1570. To znacznie więcej, niż wynikałoby z samej strony z wyciekami. Inne firmy analityczne, jak Halcyon czy źródła cytowane przez Krebs on Security, podają różne liczby w przedziale 300 do 480+ ofiar w ponad 60 krajach, w zależności od daty pomiaru. Sam wzrost między czwartym kwartałem 2025 (około 40 ofiar) a pierwszym kwartałem 2026 (około 166 ofiar) to wzrost o ponad 300% kwartał do kwartału. Według części rankingów The Gentlemen to obecnie druga najaktywniejsza grupa ransomware na świecie pod względem liczby ofiar.
Nowa taktyka nacisku: łańcuch ofiar
W kwietniu 2026 roku grupa włamała się do brytyjskiej firmy konsultingowej, a następnie wykorzystała wykradzione z niej dane dostępowe do zaatakowania jednego z jej klientów w Turcji. Obie firmy trafiły na leak site, przy czym brytyjska została opisana jako "broker dostępu" dla ataku na turecką spółkę. To celowy zabieg, który miał wywołać konflikt prawny i wizerunkowy między poszkodowanymi firmami.
AI jako narzędzie pracy grupy
Z wycieku wynika, że operator przyznał się do zbudowania panelu RaaS z pomocą asystentów kodowania AI, tak zwanego vibe-codingu, w trzy dni, korzystając też z ChatGPT i Gemini przy innych zadaniach. To wpisuje się w informację o samym logo grupy. Według analizy jednego z niezależnych badaczy bezpieczeństwa, bloga The Raven File z maja 2026, oficjalne logo The Gentlemen na ich witrynie z wyciekami zostało wygenerowane przez ChatGPT, model GPT-4o, przez API OpenAI. Wniosek wyciągnięto z metadanych EXIF samego pliku graficznego. To pojedyncze źródło o umiarkowanej wiarygodności, więc traktuję to jako prawdopodobny, ale niepotwierdzony niezależnie szczegół.
Skala działania The Gentlemen w liczbach
Lista ofiar The Gentlemen stale rośnie. Tylko w I kwartale 2026 przybyło 166 nowych ofiar, a łącznie w połowie roku szacunki mówią już o ponad 480 firmach. Najmocniej ucierpiały: produkcja przemysłowa, budownictwo, ochrona zdrowia, ubezpieczenia, a w miarę rozwoju grupy także energetyka i administracja publiczna. Wśród nazwanych ofiar znalazły się między innymi szpital Shifa w Omanie, laboratorium kliniczne Santa Rita w Kostaryce, producent stali JN Aceros w Peru czy dystrykt szkolny Wharton w Teksasie. Najczęściej atakowanymi krajami pozostają Tajlandia i Stany Zjednoczone, a zasięg grupy objął już ponad 60 krajów na wszystkich zamieszkanych kontynentach.
Grupa unika ofiar z Rosji i krajów WNP. To, w połączeniu z rosyjskojęzycznymi śladami w wyciekniętej komunikacji wewnętrznej, potwierdza wcześniejsze przypuszczenia o rosyjskojęzycznym pochodzeniu operatorów. To już nie jest tylko poszlaka pośrednia, jak jesienią 2025. Komunikacja z wycieku zawiera fragmenty w języku rosyjskim.
Co pokazuje przypadek The Gentlemen
Historia The Gentlemen pokazuje wyraźnie, w którą stronę idzie rynek Ransomware-as-a-Service: od pojedynczych, zamkniętych operacji do otwartych programów partnerskich, w których centralny zespół dostarcza narzędzia, a afilianci przeprowadzają włamania. To, co w 2025 roku wyglądało na ciekawostkę, czyli pojedynczą, sprawnie działającą grupę, w 2026 roku okazało się dobrze zaprojektowanym modelem biznesowym RaaS, który skutecznie przyciąga doświadczonych afiliantów wysoką prowizją.
Prowizja na poziomie 90% dla afiliantów, gotowy panel do prowadzenia kampanii, gotowy zestaw narzędzi do omijania zabezpieczeń i infrastruktura zbudowana w kilka dni przy pomocy asystentów AI, to wszystko pokazuje, jak bardzo obniżył się próg wejścia do modelu RaaS. Nie trzeba już mieć zaplecza technicznego porównywalnego z grupami APT sprzed kilku lat ani budować własnego ransomware od zera. Wystarczy dołączyć do programu partnerskiego i mieć umiejętności włamywania się do sieci, resztę, czyli szyfrator, infrastrukturę i panel do negocjacji, dostarcza centralny zespół.
Tempo, w jakim rosła skala działania The Gentlemen, od kilkudziesięciu ofiar jesienią 2025 do setek, a według części źródeł nawet ponad tysiąca w połowie 2026 roku, pokazuje też coś jeszcze: że rynek RaaS potrafi się rozkręcić szybciej, niż branża bezpieczeństwa zdąży zareagować. To już nie jest pojedynczy, dobrze zorganizowany zespół, tylko model, który się skaluje, tak jak skaluje się każdy dochodowy biznes oparty na programie partnerskim, tylko że tutaj produktem jest wymuszanie okupu.