The Gentlemen Ransomware Mengklaim 478 Korban, Bisa Menyebar Seperti Cacing

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Analisis baru terhadap operasi The Gentlemen mengungkapkan bahwa kelompok ancaman yang bermotif finansial pada awalnya beroperasi sebagai afiliasi yang bertanggung jawab melakukan…

Analisis baru terhadap operasi The Gentlemen mengungkapkan bahwa kelompok ancaman yang bermotif finansial pada awalnya beroperasi sebagai afiliasi yang bertanggung jawab melakukan serangan pemerasan ganda, sambil memanfaatkan sumber daya dari berbagai skema ransomware-as-a-service (RaaS) seperti LockBit (alias Tenacious Mantis), Qilin (alias Pestilent Mantis), dan Medusa (alias Venomous Mantis).

Menurut laporan rinci yang diterbitkan oleh PRODAFT, kelompok tersebut, yang dilacak sebagai Phantom Mantis, dipimpin oleh penjahat dunia maya berbahasa Rusia yang mereka sebut LARVA-368, yang menggunakan alias online hastalamuerte, ArmCorp, zeta88, none0, dan santamuerte. The Gentlemen diketahui aktif sejak Maret 2025 dan hingga saat ini telah memakan korban sebanyak 478 orang, berdasarkan data Ransomware. Live.

Dalam analisis ransomware pada akhir tahun lalu, tim Cybereason LevelBlue menggambarkan The Gentlemen sebagai “operasi ransomware yang sangat adaptif dan bergerak cepat” yang menggabungkan teknik ransomware matang dengan fitur RaaS, pemerasan ganda, loker lintas platform, dan propagasi fleksibel, serta dukungan afiliasi.

Kelompok ini telah muncul sebagai salah satu pelaku ancaman paling aktif, menyumbang 10% dari aktivitas ransomware pada bulan April 2026. “The Gentlemen mengikuti rantai yang berfokus pada perusahaan yang dimulai dengan akses awal, melalui layanan internet yang rentan atau kredensial yang dicuri,” kata NCC Group. “Analisis menunjukkan The Gentlemen dapat beradaptasi dan mengubah taktik selama serangan, seperti memanipulasi GPO, menyusupi akun yang memiliki hak istimewa, dan menggunakan metode khusus untuk melewati perlindungan titik akhir.”

LARVA-368 menggunakan akun aplikasi The Gentlemen IM untuk mendukung afiliasi terkait enkripsi dan masalah terkait intrusi apa pun, seperti menyediakan pembunuh EDR untuk melewati solusi keamanan melalui teknik bawa driver rentan Anda sendiri (BYOVD).

Menurut ZeroFox, kru ransomware kemungkinan besar menjalankan operasi pemerasan multi-saluran, menggabungkan serangan ransomware dengan penjangkauan email dan taktik tekanan berbasis telepon yang menargetkan korban.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com