Хакеры стали жертвами утечки данных

Долгое время компании и госорганы по всему миру страдают от утечек данных. Но иногда жертвами утечек данных становятся сами атакующие. В этом дайджесте экспертно-аналитический центр InfoWatch привел пример кибератаки неизвестных хакеров на своих «коллег по цеху» — группировку Gentleman.

В мае на одном их подпольных форумов распространялся не совсем обычный набор данных. Сообщение под заголовком «Gentleman — взломанные данные на продажу» привлекло внимание многих киберпреступников, исследователей безопасности и аналитиков угроз.

Что известно об инциденте

Выяснилось, что группировка Gentleman стала жертвой крупной утечки данных примерно через год после своего появления. Администратор хакерского сервиса признал факт взлома 4 мая 2026 г. Утекшая база данных стала распространяться на подпольных форумах. Продавец предлагал приобрести украденный набор данных за эквивалент 10 000 долларов США в криптовалюте. В ходе инцидента скомпрометированы девять учетных записей, включая аккаунт zeta88 (он же hastalamuerte), который управляет инфраструктурой, формирует хранилище и панель сервиса RaaS («вирус-шифровальщик как услуга»), управляет выплатами и фактически выступает в качестве администратора программы Gentleman.

Через некоторое время на файлообменник MediaFire была выложена ссылка на скачивание утекшего архива. Предположительно, он содержал более 8200 строк конфиденциальной информации, включая внутреннюю переписку хакеров, скриншоты зараженных систем, оперативные документы и журналы чатов с отметками времени, связанные с участниками операции по распространению программы-вымогателя. Вскоре ссылка была удалена, но потом появилась на одном из подпольных форумов.

Деятельность хакеров наизнанку

Аналитики по кибербезопасности, изучившие скриншоты данных, отмечают, что взлом группировки Gentleman предоставляет редкую возможность заглянуть на «внутреннюю кухню» хакеров и узнать, как современные операторы вирусов-вымогателей проводят свои операции с методичностью, которая сравнима с деятельностью корпораций.

Утекшие документы могут раскрывать подробные методы, используемые группировкой для проникновения в сети жертв, включая использование точек доступа VPN, сервисов OpenConnect и развертывание инфраструктуры управления и контроля для эффективного распространения вредоносных программ. Утечка внутренних обсуждений позволяет исследовать планирование операций Gentleman: в этих файлах подробно описаны первоначальные пути доступа (устройства Fortinet и Cisco, ретранслятор NTLM, журналы учетных данных OWA/M365), распределение ролей, общие наборы инструментов, а также активное отслеживание и оценка участниками группировки современных уязвимостей из базы данных CVE, таких как CVE-2024-55591 (критическая уязвимость в Fortinet FortiOS, позволяющая атакующим получить права супер-администраторов устройств FortiGate), CVE-2025-32433 (критическая уязвимость, затрагивающая устройства на SSH-сервере Erlang/OTP) и CVE-2025-33073 (уязвимость в протоколе Widows SMB, позволяющая злоумышленникам получать привилегированные права на незащищенных устройствах). В утекших чатах хакеры также обсуждали конкретных жертв, ход кампаний и получение выкупа.

Некоторые утекшие документы содержат ссылки на онлайн-ресурсы, включая видеоуроки на YouTube. Предположительно, эти материалы использовались для обучения представителей филиалов и операторов низшего уровня, участвующих в экосистеме Gentleman.

Скомпрометированные материалы также проливают свет на технические возможности группировки. Как отмечают эксперты по кибербезопасности, операторы вредоносного ПО Gentleman быстро модифицировали и обновили свой код программы-вымогателя после того, как компания Bedrock выпустила бесплатный инструмент дешифровки, способный помочь жертвам восстановить зашифрованные базы данных без уплаты выкупа. Эта адаптация демонстрирует все более совершенный и гибкий характер современных операторов программ-вымогателей, где киберпреступные группировки постоянно развиваются, чтобы опережать средства кибербезопасности.

Выкуп и использование данных

Также в Сети были опубликованы скриншоты переговоров хакеров о выкупе, демонстрирующие успешный случай, когда группировке удалось договориться с компанией-жертвой о выплате 190 тыс. долларов США, начав с первоначального требования (якоря) в размере 250 тыс. долларов.

Некоторые скомпрометированные переписки участников Gentleman указывают на то, что украденные данные британской консалтинговой компании, участвующей в разработке ПО, впоследствии были использованы для атаки на одну из компаний в Турции. В ходе переговоров хакеры использовали тактику двойного давления: они представляли британскую фирму как «посредника доступа», одновременно требуя предоставить турецкой компании «доказательства» того, что вторжение произошло с британской стороны, и призывая ее рассмотреть возможность судебного иска против консалтинговой компании.
Послужной список «джентльменов»

Gentleman — относительно молодая хакерская группировка. Ее активность впервые была отмечена специалистами по кибербезопасности в середине 2025 года. Операторы группировки рекламируют свои услуги на подпольных форумах, продвигая свою платформу программ-вымогателей и приглашая к сотрудничеству специалистов по тестированию на проникновение и других технически подкованных людей.

Ранее группировка Gentleman Ransomware взяла на себя ответственность за атаки на ряд крупных компаний компании, в том числе Sony и Barclays, предположительно похитив значительные объемы конфиденциальной корпоративной информации. По имеющимся данным, эта группировка быстро расширила свою деятельность, нацеливаясь в основном на жертв в США, Таиланде, Великобритании и Австралии. Шифруя файлы и требуя крупные выкупы, группа за короткий период времени накопила значительное состояние.

Как отмечают эксперты Check Point Research, в 2026 году Gentleman является одной из самых активных кибербанд, действующих по модели RaaS. Судя по спискам жертв, размещенном на сайте утечек данных, «джентльмены» только на неполные пять месяцев 2026 года взломали 332 компании. По количеству жертв группировка занимает второе место по продуктивности среди RaaS-субъектов за этот период, по крайней мере, среди тех, кто публично перечисляет своих жертв.

И вот теперь, судя по всему сами хакеры Gentleman сами стали жертвами кибератаки и компрометации данных. По словам экспертов по кибербезопасности, подобные сценарии становятся все более распространенными в мире киберкриминала, где уровень доверия зачастую ограничен, а мотивированные финансовыми выгодами действия нередко движут субъектами угроз.

В целом, на примере Gentleman можно убедиться, как небольшая, но хорошо организованная группа операторов вирусов-вымогателей, поддерживаемая тщательно подобранными инструментами, структурированными каналами связи и актуальными знаниями об уязвимостях, может добиться существенного эффекта за короткое время. Для команд по кибербезопасности это подчеркивает необходимость усиления защиты интернет-сервисов, устранения известных ошибок конфигурации, а также регулярного мониторинга конкретных инструментов, рабочих процессов и моделей связи на основе протокола Tox.