2026-05-19 05:27:04 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 勒索软件组织TheGentlemen近期遭遇了重大数据泄露，其内部聊天记录、比特币钱包地址等敏感信息被公开。该组织曾以泄露数据要挟受害者，但如今自己也成为了数据泄露的对象。泄露内容揭示了其运作模式，包括使用被盗的Fortinet凭证进行初始访问、利用EDRKiller工具绕过安全软件、以及高达90%的赎金分成策略等。此次事件为研究现代勒索软件即服务（RaaS）生态提供了罕见的视角。 综合评分： 85 文章分类： 恶意软件,网络安全,威胁情报,应急响应,解决方案

cover_image

一报还一报：勒索软件组织“The Gentlemen”遭遇重大数据泄露

原创

网空闲话网空闲话

网空闲话plus

2026年5月12日 07:28 江苏

在小说阅读器读本章

去阅读

一场极具讽刺意味的事件正在网络犯罪圈内发酵：以勒索他人、泄露数据为威胁手段的勒索软件组织“The Gentlemen”，如今自己也成为了数据泄露的受害者。这个自2025年年中起活跃、号称向附属成员提供90%高额分成的勒索软件即服务（Ransomware-as-a-Service, RaaS）平台，曾嚣张地将超340名拒绝支付赎金的受害者信息公之于众，甚至扬言要公开从索尼、巴克莱等巨头窃取的保密协议。然而，2026年5月初，该组织托管于4VPS的部分基础设施遭攻击，NAS凭证被盗。短短数日内，其内部聊天工具的8,200行对话记录、感染系统截图、比特币钱包地址乃至战术讨论被悉数公开至互联网。这一次，被“公开挂网”的不再是受害者，而是勒索者自己——外界也因此得以一窥现代RaaS生态的真实运营内幕。

一、事件时间线：从4VPS被黑到数据免费公开

The Gentlemen 是一个于 2025年年中 浮出水面的RaaS组织。据网络安全公司SOCRadar观察，该组织从一开始就“毫无善意可言”。然而，它的命运在2026年5月初发生了逆转。

根据DataBreaches网站的报道，事件源头可追溯至 2026年5月2日：托管服务商 4VPS 发布公告称，其网站和计费系统遭遇攻击，但坚称核心基础设施和客户数据未受影响。由于4VPS长期以来以服务于地下网络活动者而闻名，这一事件迅速引起广泛关注。

数日内，暗网便出现了声称与The Gentlemen相关的数据兜售信息，业内人士普遍认为泄露源正是托管于4VPS的资产。关于该组织遭遇数据泄露的公开线索最早出现在 2026年5月4日：一名用户在网络犯罪论坛 Breached 上发布帖子，标题为“The Gentlemen – hacked data for sale”，要价 10,000美元（以比特币支付），声称可提供“完整数据”，并应要求提供样本。

目前尚不清楚是否有人支付了这笔款项。但在 2026年5月8日（周五），同一用户在文件分享网站 MediaFire 上发布了一个链接，供任何人 免费下载 被盗数据。

The Gentlemen随后在暗网论坛上作出回应，承认其 部分基础设施确实托管在4VPS上，并确认攻击者获取了他们的 NAS（网络附加存储）凭证。不过，该组织声称，攻击者数周的数据外泄尝试均告失败，原因是“入侵者缺乏必要的IP”。该组织还表示，控制面板和加密锁（lockers）从未被访问，并借机宣布将进行通信系统大修，计划在 “胜利日”（Victory Day，即5月9日） 上线一台容量“几乎无限”的新NAS，同时升级一批加密锁基础设施。然而，正如DataBreaches所评论的：“如果泄露的数据得到验证，该组织声明的准确性将令人怀疑。”

二、泄露内容：8200行内部对话与莫斯科时间戳

网络安全公司 DynaRisk 的威胁情报负责人 Milivoj Rajić 一直在仔细分析泄露的数据。他表示，这些材料之所以极具价值，是因为它们 实时展示了现代勒索软件生态系统的运营层面，包括基础设施管理、目标选择、后端开发和操作安全（OPSEC）实践。

据Rajić披露，泄露的通信内容包含：

来自某个内部聊天工具的 8,200行文本；
受感染系统的截图；
消息时间戳与按 莫斯科时间 工作的人员作息高度吻合。

三、技术战术：从Fortinet初始访问到EDR Killer

聊天记录显示，该组织成员日常讨论的技术话题涵盖广泛，反映出当代RaaS团伙的技术关切：

初始访问：通过 OpenConnect 获取受害者VPN连接的访问权限；许多入侵始于 Fortinet 边缘网络设备的 被盗凭证；
载荷投递：如何使用命令与控制（C2）软件推送恶意载荷；
远程管理：经常使用开源的 ZeroPulse GitHub仓库 来远程管理受感染的系统；
防御规避：如何禁用端点安全工具、绕过端点检测与响应（EDR）系统，以及如何使用 “EDR Killer” 工具；
权限提升：修改组策略对象（Group Policy Objects），在Active Directory中获取 “域管理员” 权限，从而获得对IT环境的不受限制的访问；
虚假CVE脚本 带来的困扰；
技术学习：哪些YouTube视频最适合用来提升技术能力。

泄露文件中还包含一个 当前正在使用的比特币钱包地址，用于处理来自受害者的赎金支付。

四、攻击策略：大规模侦察与精准破坏

Rajić指出，这些消息凸显了该组织对 大规模勒索软件感染 的专注，包括“加密企业基础设施”以及“在跨网络启动加密之前准备环境”。

为实现这一目标，该组织通常会进行 大量侦察工作：“该组织不会立即部署勒索软件，而是仔细绘制环境地图，搜索虚拟化基础设施、备份系统、NAS设备和关键服务器，以最大化攻击影响。”

攻击者还采用了 “离地攻击”（living-off-the-land）策略，即使用合法的企业IT管理工具，这使得识别恶意活动变得更加困难。他们特别关注以下目标：

NAS系统
Exchange服务器
存储阵列
备份基础设施

Rajić强调：“攻击者具体聚焦于NAS系统、Exchange服务器、存储阵列和备份基础设施——这是勒索软件的常见手段，旨在阻止加密后的数据恢复。”

五、受害者清单：索尼、巴克莱与340+未支付者

泄露的消息显示，The Gentlemen声称已成功入侵 索尼（Sony） 和 巴克莱银行（Barclays），据称从每家窃取了 约1TB数据，还包括保密协议（NDA）的细节。该组织一直威胁称，如果不支付赎金，就将公开这些协议。

根据第三方统计数据，The Gentlemen的受害者规模相当可观：

据网络安全公司 S-RM 报告，截至 2026年4月，该组织已在其数据泄露网站上列出了 超过340名未支付赎金的受害者。
安全研究机构 RaaS Tracker 的数据显示，该组织已确认 402名受害者，首次被发现于 2025年9月9日，最近一次受害者记录出现在 2026年5月9日。此外，一台被入侵的C2服务器在2026年曝光了超过1,570个关联受害者。
受害者遍布 70个国家。
在研究人员将其列为活跃网络犯罪企业之时，该组织已在 泰国和美国 积累了一打以上的受害者。
到 2025年底，其受害者名单已扩展至 制造业、医疗保健和保险机构，此外还在 圣诞节期间 对罗马尼亚国有电力生产商 Complexul Energetic Oltenia 造成了破坏。

目前尚不清楚有多少受害者向该组织支付了赎金，也不清楚其总获利金额。

六、商业模式：90%分成、当日补丁与数据-only勒索新策略

The Gentlemen通过暗网网站定期招募附属成员（affiliates），宣传其基于 Go语言 开发的恶意软件能够实现 “静默加密”，可针对 Windows、Linux、NAS、BSD和ESXi 系统。该组织依赖 初始访问中介（initial access brokers），承诺与其分享收益，同时也利用被盗凭证市场（即信息窃取恶意软件收集的日志“云”）来获取访问受害者的途径。

在利润分配方面，该组织向附属成员承诺 每笔赎金的90% 作为基础分成，剩余部分归运营方。2026年4月，该组织更新了分成方案：对于 仅进行数据勒索（不加密系统） 的攻击，附属成员将获得 97% 的赎金。网络安全公司 ZeroFox 分析认为，这一转变很可能表明该组织试图 “适应市场环境，并吸引那些偏好较低操作风险的附属成员”。

值得注意的是，该勒索软件运营方具备 快速更新 其加密恶意软件的能力。2026年4月，加拿大网络安全公司 Bedrock Safeguard 的研究人员发布了一款针对该组织恶意软件的 免费解密器。作为回应，“该组织当天就发布了补丁，展现了其高度响应性的开发周期”，ZeroFox的研究人员指出。

七、讽刺与警示

The Gentlemen的遭遇堪称网络犯罪世界中“一报还一报”的典型案例。一个以勒索他人、泄露数据为威胁手段的组织，最终自己也未能幸免于同样的命运。

此次事件的价值远不止于讽刺。8,200行内部聊天记录、实时运营截图、技术讨论与战术细节，为网络安全研究人员提供了一个罕见的窗口，得以窥见现代RaaS组织的内部运作机制。从初始访问（Fortinet凭证）到权限提升（域管理员），从防御规避（EDR Killer）到数据外泄，从利润分成的商业策略（90%-97%分成）到当天打补丁的技术响应能力——这些信息无疑将帮助防御方更好地理解威胁，制定更有效的应对策略。

而对于The Gentlemen而言，正如DataBreaches所暗示的，其在攻击后发布的“一切尽在掌控”的声明，在已泄露的证据面前，恐怕难以让人信服。截至2026年5月11日，RaaS Tracker数据显示该组织已 “不活跃2天”，攻击速度较上月 下降58%。这场“绅士”的滑铁卢，或许正是网络犯罪生态中权力平衡的一次微小但意味深长的转移。

参考文献

Mathew J. Schwartz, “Tables Turned: Gentlemen Ransomware Group Suffers Data Leak,” Bank InfoSecurity, May 11, 2026. https://www.bankinfosecurity.com/tables-turned-gentlemen-ransomware-group-suffers-data-leak-a-31654
Dissent, “The Gentlemen Ransomware Group Becomes a Victim,” DataBreaches, May 11, 2026. https://databreaches.net/2026/05/11/the-gentlemen-ransomware-group-becomes-a-victim/
RaaS Tracker, “Thegentlemen” 组织档案（Active RaaS），数据更新至2026年5月11日。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话网空闲话《一报还一报：勒索软件组织“The Gentlemen”遭遇重大数据泄露》