The Gentlemen Ransomware claimt 478 slachtoffers, kan zich verspreiden als een worm

Cyberbeveiliging
The Gentlemen Ransomware claimt 478 slachtoffers, kan zich verspreiden als een worm

Een nieuwe analyse van De heren Uit de operatie is gebleken dat de financieel gemotiveerde dreigingsgroep aanvankelijk opereerde als een dochteronderneming die verantwoordelijk was voor het uitvoeren van dubbele afpersingsaanvallen, terwijl ze gebruik maakte van middelen van verschillende ransomware-as-a-service (RaaS)-programma’s zoals LockBit (ook bekend als Tenacious Mantis), Qilin (ook bekend als Pestilent Mantis) en Medusa (ook bekend als Venomous Mantis).

Volgens een gedetailleerd rapport gepubliceerd door PRODAFT wordt de groep, die zij volgen als Phantom Mantis, geleid door een Russisch sprekende cybercrimineel die zij LARVA-368 noemt, die de online aliassen hastalamuerte, ArmCorp, zeta88, Nobody0 en santamuerte draagt. Het is bekend dat The Gentlemen actief is sinds maart 2025 en tot nu toe in totaal 478 slachtoffers heeft gemaakt, volgens gegevens van Ransomware.Live.

“In juli 2025 stapte Phantom Mantis over naar The Gentlemen, een onafhankelijk partnerschapsprogramma dat niet langer afhankelijk is van andere RaaS-groepen”, aldus het Zwitserse cyberbeveiligingsbedrijf. “Bovendien vertrouwt LARVA-368 sterk op kunstmatige intelligentie voor de ontwikkeling en het onderhoud van ransomware en tools, maar ook voor hulp bij post-exploitatieprocedures.”

Wat LARVA-368 betreft, wordt aangenomen dat de bedreigingsacteur lid was van de ransomware-groep Embargo (ook bekend als Primeval Mantis) voordat hij zijn eigen operatie lanceerde onder de naam ArmCorp. Vier maanden later werd het omgedoopt tot The Gentlemen.

De identiteit van het individu is sindsdien onthuld door cybersecurityjournalist Brian Krebs als een 36-jarige Alexander Andrejevitsj Yapaev (Япаев Алексанр Андреевич) uit de Russische stad Izjevsk. PRODAFT vertelde The Hacker News dat zijn bevindingen overeenkomen met dezelfde persoonlijkheid met “hoog vertrouwen”.

Zoals beschreven door Dark Atlas in augustus 2025 viel de verschuiving samen met een betalingsgeschil tussen LARVA-368 en Qilin, waarbij de dreigingsactor de RaaS-operatie beschuldigde van het uitvoeren van een exit-zwendel en het oplichten van $ 48.000.

“Hoewel Phantom Mantis een zeer actieve aangesloten groep was met meer dan 20 doelwitten geregistreerd in het aangesloten panel in minder dan 30 dagen, beweerden de beheerder van de groep (LARVA-368) en LARVA-367 (ook bekend als DevMan), een voormalig lid van Phantom Mantis, dat Pestilent Mantis aangesloten bedrijven oplichtte en dat er een vermeende ‘achterdeur’ was in de slachtofferchats van het aangesloten panel van Pestilent Mantis, “merkte PRODAFT op.

“Hoewel we deze beweringen niet konden bevestigen, bestaat de kans dat LARVA-368 en LARVA-367 opzettelijk desinformatie verspreiden met de bedoeling om Pestilent Mantis-filialen bij Phantom Mantis te rekruteren door de groep in diskrediet te brengen.”

Er is ook waargenomen dat Phantom Mantis betaalde voor Premium-accounts op ondergrondse forums om hun zichtbaarheid te vergroten en de concurrentie af te weren, waarbij de communicatie van de groep en de technische ondersteuning werden afgehandeld door een aparte Russisch sprekende persona genaamd The Gentlemen Data.

Enkele van de andere opvallende aspecten van het afpersingsplan, samengesteld uit verschillende rapporten, zijn als volgt:

  • In een analyse van de ransomware eind vorig jaar beschreef het Cybereason-team van LevelBlue The Gentlemen als een ‘zeer adaptieve, snel veranderende ransomware-operatie’ die volwassen ransomware-technieken combineert met RaaS-functies, dubbele afpersing, platformonafhankelijke lockers en flexibele verspreiding en ondersteuning van partners.
  • De groep is uitgegroeid tot een van de meest actieve bedreigingsactoren, goed voor 10% van de ransomware-activiteit in april 2026. “The Gentlemen volgt een ondernemingsgerichte keten, beginnend met initiële toegang, via kwetsbare internetgerichte diensten of gestolen inloggegevens”, aldus NCC Group. “Uit analyse blijkt dat The Gentlemen tijdens een aanval hun tactieken kunnen aanpassen en veranderen, zoals het manipuleren van GPO’s, het compromitteren van bevoorrechte accounts en het gebruiken van aangepaste methoden om eindpuntbeveiligingen te omzeilen.”
  • Slechts ongeveer 13% van hun slachtoffers is gevestigd in de VS. De meerderheid van de slachtoffers is geconcentreerd in Thailand, Groot-Brittannië, Brazilië, Duitsland en India.
  • LARVA-368 maakt gebruik van de Gentlemen IM-app-accounts om aangesloten bedrijven te ondersteunen met betrekking tot encryptie en eventuele inbraakgerelateerde problemen, zoals het leveren van EDR-killers om beveiligingsoplossingen te omzeilen via de BYOVD-techniek (Bring your own vulnerability driver).
  • Ondersteunende diensten voor zowel The Gentlemen als The Gentlemen Data zijn beschikbaar via de open-source berichtenplatformen Tox, SimpleX Chat en Ricochet Refresh.
  • Potentiële partners moeten de beheerder ten minste 1 GB aan gegevens verstrekken die van een slachtoffer zijn geëxfiltreerd om toegang te krijgen tot het aangesloten panel, een tactiek die is ontworpen om te voorkomen dat onderzoekers en wetshandhavingsinstanties onder het mom van een aangesloten partner toegang krijgen tot de infrastructuur. Het aangesloten paneel ondersteunt gebruikersbeheer, het configureren van nieuwe doelen en het downloaden van ransomware naar een specifiek doel.
  • Phantom Mantis biedt vijf versies van ransomware die zijn ontworpen voor Windows, Linux, ESXi, Windows XP+ en Logical Volume Manager (LVM).
  • De groepsrechtbanken hanteren een agressief winstdelingsmodel: 90% voor aangeslotenen en 10% voor de exploitant.
  • Initiële toegang wordt verkregen via edge-apparaten zoals VPN-apparaten, firewalls en andere internetgerichte systemen, met een specifieke focus op platforms als Cisco en Fortinet FortiGate.
  • Infectieketens omvatten het gebruik van red-team-hulpprogramma’s zoals NetExec, RelayKing, TaskHound, PrivHound en CertiHound om Active Directory-detectie, certificaatmisbruik, escalatie van bevoegdheden en detectie van bestandsshares uit te voeren. Een aparte set tools, zoals EDRStartupHinder, gfreeze, glinker en DumpBrowserSecrets, wordt gebruikt om beveiligingsprogramma’s te omzeilen, terwijl Velociraptor wordt gebruikt voor command-and-control (C2).
  • De aanvallen proberen ook de systeem-, applicatie- en beveiligings-Windows-gebeurtenislogboeken te wissen, Microsoft Defender uit te schakelen en antivirusuitsluitingen toe te voegen.
  • De ransomware maakt gebruik van een hybride cryptografisch schema: X25519-sleuteluitwisseling gecombineerd met XChaCha20-symmetrische encryptie.
  • Microsoft, dat het cluster volgt onder de naam Storm-2697, zei dat de ransomware is geschreven in Go en versluierd met Garble om zich op de Windows-omgeving te richten. “Wanneer ingeschakeld met het –spread-argument, verandert het de malware van een single-host-encryptor in een zichzelf voortplantende worm die probeert zijn encryptor in te zetten op elk bereikbaar systeem op het netwerk”, aldus de technologiegigant. “Als het –wipe-argument wordt gegeven, voert de The Gentlemen-ransomware een extra post-encryptieroutine uit om herstelbare artefacten van de schijf te verwijderen.”
  • Volgens ZeroFox voert de ransomware-ploeg waarschijnlijk een afpersingsoperatie via meerdere kanalen uit, waarbij ransomware-aanvallen worden gecombineerd met e-mailcontact en telefonische druk op slachtoffers.
  • De groep implementeert een ‘zeer responsieve ontwikkelingscyclus’, een aspect dat wordt geïllustreerd door de release van een patch op dezelfde dag nadat in april 2026 een decryptor werd uitgebracht.
  • De gemiddelde verblijftijd van een inbraak varieert van twee tot zes weken vanaf de eerste toegang tot de versleuteling, waarbij de groep zich vooral richt op organisaties die een VMware-infrastructuur gebruiken.

Vorige maand heeft een lek van een interne Rocket.Chat-database die door de groep wordt gebruikt – met 3.366 berichten tussen november 2025 en eind april 2026 – verder licht geworpen op de interne werking van de groep, inclusief het gebruik van bekende beveiligingsfouten in VMware Aria Operations, Fortinet, Cisco en Microsoft-software, terwijl een beeld wordt geschetst van een criminele onderneming waarvan de leden een duidelijke verdeling van rollen en verantwoordelijkheden hebben.

“De groep volgt en evalueert actief moderne kwetsbaarheden, waaronder CVE-2024-55591, CVE-2025-32433 en CVE-2025-33073, en combineert deze met techniekgestuurde paden zoals misbruik van back-up- en beheercontrollers en NTLM-relay-workflows, waardoor ze een flexibele exploitatiepijplijn krijgen”, aldus Check Point.

Dat is niet alles. In maart 2026 zei Hunt.io dat het een open directory had ontdekt die werd gehost op “176.120.22(.)127:80” op de Russische kogelvrije hostingprovider Proton66, die 126 bestanden openbaarde met daarin een complete ransomware-operatortoolkit die werd toegeschreven aan een dochteronderneming van The Gentlemen RaaS.

Dit omvatte tools voor verkenning, escalatie van privileges, ontduiking van defensie, diefstal van inloggegevens, laterale verplaatsing, doorzettingsvermogen en pre-encryptievoorbereiding, die in wezen alle fasen van de levenscyclus van de inbraak besloegen.

“LARVA-368 is een bedreigingsacteur die gespecialiseerd is in afpersingsgerelateerde activiteiten en is actief sinds ten minste 2020”, aldus PRODAFT. “De expertise die is verworven door eerdere samenwerkingen met verschillende RaaS-groepen vormde de technische basis die nodig was om The Gentlemen RaaS op te richten.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Nieuwe aanvallen zorgen ervoor dat OpenClaw AI-agent code uitvoert en geheimen lekt

ShinyHunters maakt gebruik van Oracle PeopleSoft Zero-Day (CVE-2026-35273) om universiteiten te overtreden

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]