網路安全解決方案先驅暨全球領導者 Check Point Software Technologies Ltd.(NASDAQ: CHKP,以下稱 Check Point)的威脅情報部門 Check Point Research(以下稱 CPR)公開了根據勒索軟體集團「The Gentlemen」外洩內部資料所進行的調查結果。 RaaS(勒索軟體即服務)集團 The Gentlemen 在 2026 年成為全球第二活躍的勒索軟體集團,已公開超過 400 起受害案例。2026 年 5 月,該集團的內部系統遭入侵,使其營運架構全面曝光。 The Gentlemen 由一名管理者 zeta88/hastalamuerte 主導,並由約 9 名可確認姓名的操作人員運作。該管理者不僅負責平台管理,也直接參與實際加密攻擊。調查顯示,該管理者曾是 Qilin 勒索軟體計畫的前附屬成員,在既有犯罪組織中學習手法後,另行創立競爭性組織。 該集團的初始入侵途徑幾乎限於未修補的邊界裝置與購買而來的憑證。被害者遭竊資料也被用於後續攻擊其客戶,形成已被實際確認的連鎖式受害。該集團還使用中國 AI 模型 DeepSeek、Qwen 等 AI 程式碼助理加速勒索軟體開發;管理者利用 AI 編碼支援,僅 3 天就建立完整 RaaS 管理面板。Check Point 已就本案通知執法機關。 2026 年 5 月 4 日,The Gentlemen 管理者在地下論壇承認,該集團內部後端資料庫遭入侵並外洩。此事件很可能與該集團用於基礎設施營運的託管供應商 4VPS 遭入侵有關。CPR 在外洩資料被刪除前取得部分內容,包括內部聊天紀錄、營運成員名單、贖金談判紀錄,以及工具運作討論。這些資料揭露了防禦方極少能取得的勒索軟體營運內幕。 The Gentlemen 是小型但專業化的營運組織。管理者 zeta88 很可能與別名 hastalamuerte 的人物為同一人,負責勒索軟體製作、RaaS 面板營運、付款管理,並直接參與攻擊。外洩內部聊天中甚至記錄其在實際加密攻擊期間傳送「I’m locking」訊息。該集團向附屬成員提供 90:10 的高收益分潤,高於業界常見的 80:20,吸引來自 Qilin 等競爭計畫的經驗豐富操作人員。 The Gentlemen 的入侵手法主要依賴未修補、暴露於網際網路的裝置,特別是 VPN 與設備型產品,並利用 CVE-2024-55591、CVE-2025-32433 等漏洞,也會購買第三方初始存取權,或使用資訊竊取程式日誌市場取得的憑證。入侵後,攻擊者會快速執行 Active Directory 列舉、NTLM relay 攻擊(CVE-2025-33073)、停用 EDR、使用合法管理工具進行橫向移動、竊取瀏覽器工作階段資料以取得 Microsoft 365 與 Okta 存取權,並外洩資料。完成上述步驟後,該集團會透過群組原則在整個網域部署勒索軟體,同時攻擊所有連線端點。 對企業經營者而言,最重要的發現是一次入侵可能導致下一次入侵。2026 年 4 月,The Gentlemen 入侵一家英國軟體顧問公司,並利用竊得的資料、基礎設施文件、憑證與客戶環境存取資訊,攻擊該公司的土耳其客戶。該英國公司官方聲稱僅有一般業務資料被存取,但外洩的內部聊天顯示實情並非如此。之後,The Gentlemen 將兩家公司都列入資料外洩網站,並點名英國顧問公司是攻擊土耳其企業的「存取仲介者」,藉此施壓土耳其企業對合作夥伴採取法律行動。這凸顯企業自身遭入侵也可能成為客戶被入侵的通道;代表客戶持有的資料,必須以與自身最重要資產相同的等級保護。 安全主管應將邊界裝置修補列為經營優先事項,尤其是 VPN、防火牆與遠端存取閘道。也應以憑證已遭外洩為前提進行防禦;MFA 必要但不足,還需監控 Microsoft 365、VPN 面板與身分管理系統中的異常登入模式。Active Directory 也必須受到保護,因為 NTLM relay 與 AD 憑證服務設定錯誤是該集團攻擊手法的核心。真正有效的偵測重點在橫向移動階段,而不是等勒索軟體啟動後才反應。備份也必須確實隔離,尤其是 NAS 與備份系統常被該集團鎖定;與網域分離、離線且不可竄改的備份,是能否復原而非屈服於攻擊者的關鍵。 本次調查顯示,The Gentlemen 象徵當代專業勒索軟體的樣貌:小型但組織化的成員、精選工具、可重複使用的攻擊手法,以及用來吸引熟練操作人員的商業模式。他們並未創造全新技術,而是將既有攻擊手法整合進可擴張的營運體系,並以具競爭力的附屬計畫條件擴大勢力。由於該集團自身基礎設施遭入侵,防禦方獲得了罕見機會,得以清楚掌握其營運實態。CPR 已將調查結果分享給執法機關,目前調查仍在進行中。 有關 IOC、YARA 偵測規則、附屬成員 TOX ID 清單等詳細資訊,請參閱 CPR 完整調查報告。Check Point 客戶可透過 Threat Emulation 與 Harmony Endpoint 防護 The Gentlemen 勒索軟體威脅。本新聞稿依據 2026 年 5 月 13 日於美國時間發布的英文部落格文章編寫。
FACT BOX · 重點整理
- 來源:PR TIMES
- 分類:其他
- 相關組織:4VPS / Okta / Microsoft
- 產品、服務:ThreatCloud AI / Threat Emulation