複数ライセンス割引見積
脅威データベース ランサムウェア The Gentlemen Ransomware

The Gentlemen Ransomware

ランサムウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

ザ・ジェントルメンの活動に関する調査によると、この金銭目的の脅威グループは当初、LockBit、Qilin、Medusaなどの複数のランサムウェア・アズ・ア・サービス(RaaS)エコシステムが提供するインフラとリソースを活用しながら、二重恐喝攻撃を行う関連組織として活動していたことが明らかになった。

この作戦は、ファントム・マンティスという名称で複数の研究者によって追跡されており、LARVA-368というロシア語を話すサイバー犯罪者が主導している。この人物は、hastalamuerte、ArmCorp、zeta88、nobody0、santamuerteなど、複数のオンライン上の別名を使用している。2025年3月から活動しているこのグループは、478人の被害者について犯行声明を出している。

脅威グループの出現

2025年7月、ファントム・マンティスは外部のRaaSオペレーターに依存しない独立したパートナーシッププログラムであるザ・ジェントルメンへと進化し、大きな変革を遂げた。この移行に伴い、ランサムウェアの開発、ツールの保守、および攻撃後の活動を支援するために、人工知能が幅広く活用されるようになった。

脅威インテリジェンスの評価によると、LARVA-368は以前はEmbargoランサムウェアグループ内で活動していたが、その後ArmCorpブランドで独立した活動を開始した。4か月後、この活動はThe Gentlemenに名称変更された。

この移行のタイミングは、LARVA-368とQilinランサムウェア組織との間の公然とした紛争と密接に関連していた。攻撃者は、Qilinが出口詐欺を行い、約4万8000ドルの収益を隠蔽したと非難した。

アンダーグラウンドコミュニティにおける市場プレゼンスを強化するため、ファントム・マンティスはサイバー犯罪フォーラムのプレミアム会員権に投資している。コミュニケーションおよび技術サポート機能は、主に「ザ・ジェントルメン・データ」として知られるロシア語を話す別人格によって管理されている。

成熟し急速に成長するランサムウェアのエコシステム

セキュリティ研究者らは、「ザ・ジェントルメン」を、従来のランサムウェア技術と最新のRaaS(ランサムウェア・アズ・ア・サービス)機能を組み合わせた、適応性と進化のスピードに優れたランサムウェア攻撃グループと評している。その攻撃モデルは、二重の恐喝、クロスプラットフォーム対応のランサムウェア亜種、柔軟な拡散メカニズム、そして広範な関連組織による支援を特徴としている。

このグループは、脅威の状況において最も活発なランサムウェア攻撃者の1つとして急速に台頭しており、2026年4月には観測されたランサムウェア活動全体の約10%を占めています。攻撃キャンペーンは通常、脆弱なインターネット接続サービスや侵害された認証情報から始まる、企業を標的とした侵入経路をたどります。

さらに分析によると、攻撃者は侵入中に戦術を動的に変更できることが示唆されている。これまでの活動には、グループポリシーオブジェクト(GPO)の操作、特権アカウントの侵害、エンドポイントセキュリティ制御を回避するために設計された独自の技術の展開などが含まれる。

被害者の分布を見ると、国際的な被害が顕著であることがわかる。既知の被害者のうち米国に居住しているのはわずか約13%で、被害者の集中度が最も高いのはタイ、英国、ブラジル、ドイツ、インドである。

アフィリエイトサポートおよび犯罪ビジネス運営

The Gentlemenは、LARVA-368が直接サポートする構造化されたアフィリエイトエコシステムを維持しています。The Gentlemen IMプラットフォーム上の専用アカウントは、暗号化プロセスや侵入関連の課題に対するサポートを提供し、Bring Your Own Vulnerable Driver (BYOVD) 技術を活用したEDRバイパスツールへのアクセスも可能にします。

The GentlemenとThe Gentlemen Dataの両方のサポートサービスは、Tox、SimpleX Chat、およびRicochet Refreshのメッセージングプラットフォームを通じて利用できます。アフィリエイトを希望する者は、アフィリエイトポータルへのアクセス権を取得する前に、少なくとも1GBの盗難被害者データを提出する必要があります。この要件は、研究者や法執行機関がアフィリエイトを装ってプラットフォームに侵入するのを防ぐことを目的としているようです。

アフィリエイト管理ポータルでは、ユーザー管理、ターゲット設定、ランサムウェア展開管理が可能です。参加者を惹きつけるため、この作戦では、利益の90%をアフィリエイトに、10%を運営者に分配する積極的な収益分配構造を採用しています。

技術インフラと攻撃手法

このグループは、Windows、Linux、ESXi、Windows XP以降のシステム、および論理ボリュームマネージャ(LVM)を使用する環境を標的とした5種類のランサムウェアを提供しています。初期アクセス攻撃は、VPNアプライアンス、ファイアウォール、エッジデバイスなど、インターネットに接続されたインフラストラクチャを標的とするのが一般的です。

侵入ライフサイクルには、多種多様な攻撃ツールとテクニックが組み込まれています。

  • NetExec、RelayKing、TaskHound、PrivHound、CertiHoundなどのレッドチーム用ユーティリティは、Active Directoryの偵察、証明書の悪用、権限昇格、ネットワーク共有の検出などに使用されます。EDRStartupHinder、gfreeze、glinker、DumpBrowserSecretsなどの追加ツールは、防御回避や認証情報の窃盗を容易にし、Velociraptorはコマンド&コントロール活動をサポートします。
  • 侵害後の対策としては、Windowsのシステム、アプリケーション、セキュリティイベントログの消去、Microsoft Defenderの無効化、検出機会を減らすためのウイルス対策除外設定の作成などがよく行われます。

このランサムウェアは、X25519鍵交換とXChaCha20対称暗号化を組み合わせたハイブリッド暗号化モデルを採用している。Storm-2697として活動クラスターを追跡している研究者らは、このマルウェアがGo言語で記述され、Garbleを用いて難読化されていることを突き止めた。

特に危険な機能は「--spread」パラメータによって有効化され、ランサムウェアを単一ホスト暗号化型から、到達可能なネットワークシステム全体に自己増殖するワームへと変換します。「--wipe」引数とともに実行されると、マルウェアは暗号化後に復元可能な痕跡を消去するための追加アクションを実行します。

恐喝戦術と作戦上の機敏性

証拠によると、ザ・ジェントルメンはランサムウェアの展開にとどまらず、複数のチャネルを駆使した恐喝戦略を展開している。被害者は、支払いを促すために、直接メールによる連絡や電話による圧力キャンペーンに直面する可能性もある。

同グループの開発サイクルは、非常に高い対応力を示している。特筆すべき例として、2026年4月には、復号ツールが一般公開されたその日に、オペレーターがパッチをリリースした。

侵入は通常、暗号化が実行されるまで2週間から6週間ほど検出されないままとなる。VMwareインフラストラクチャを運用している組織は、特に標的とされているようだ。

内部情報漏洩により組織構造が明らかに

2026年5月、グループが使用していたRocket.Chatの内部データベースが流出したことで、重要な情報収集の突破口が開かれた。流出したデータには、2025年11月から2026年4月下旬にかけてやり取りされた3,366件のメッセージが含まれており、作戦の内部構造やワークフローに関する貴重な情報を提供した。

通信記録からは、メンバー間の明確な役割分担が明らかになり、VMware Aria Operations、Fortinet、Cisco、およびMicrosoftのテクノロジーに影響を与える脆弱性が悪用されていたことが記録されていた。これらの記録は、攻撃作戦の各段階を支援する専門的な役割分担を持つ、高度に組織化された犯罪組織の実態を浮き彫りにしていた。

流出した情報によると、CVE-2024-55591、CVE-2025-32433、CVE-2025-33073などの新たな脆弱性に対する積極的な監視と評価が行われていたことが明らかになった。これらの脆弱性は、バックアップシステムの悪用、管理コントローラの侵害、NTLMリレー技術といった追加の攻撃経路と組み合わされ、非常に柔軟な攻撃フレームワークを構築していた。

オペレーター向けツールキット一式を公開

2026年3月、サイバーセキュリティ研究者らは、堅牢なホスティングサービスであるProton66上で公開されているディレクトリを特定した。このディレクトリには、The Gentlemen RaaS関連会社に起因する126個のファイルが含まれており、ランサムウェアオペレーターのツールキット一式が事実上公開されていた。

流出したツールキットは、攻撃ライフサイクルのほぼすべての段階を網羅していた。

  • 偵察と被害者プロファイリング
  • 特権の拡大
  • 防御回避
  • 認証情報の盗難
  • 横方向の動き
  • 持続メカニズム
  • 暗号化前の準備活動

このツールキットの充実度は、エコシステムの運用上の成熟度を浮き彫りにし、提携企業が利用できるリソースを垣間見ることができる貴重な機会となった。

ブランドの背後にある脅威

LARVA-368は、少なくとも2020年以降、恐喝を目的としたサイバー犯罪活動に関与してきた。複数のランサムウェア組織との連携を通じて得られた経験は、The Gentlemenを重要な独立系RaaS企業へと成長させるために必要な技術的専門知識、運用ノウハウ、そして犯罪ネットワークを提供したと考えられる。

この組織は、高度な技術力、提携企業を重視するビジネス手法、迅速な開発サイクル、そして攻撃的な恐喝戦術といった要素を兼ね備えており、世界中の組織が現在直面している最も深刻なランサムウェアの脅威の一つとして位置づけられている。

トレンド

Panaptor.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
インターネット閲覧時の注意は、これまで以上に重要になっています。悪質なウェブサイトは、訪問者を騙して許可を与えさせたり、有害なコンテンツにアクセスさせたりするために、しばしば欺瞞的な手口を用います。よくある手口としては、偽のCAPTCHA認証、捏造されたマルウェア警告、信頼できるセキュリティソフトウェアからのものに見せかけた誤解を招く警告などが挙げられます。これらの手口は、ユーザーに表示され...

Aibrowseruodate.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
インターネット閲覧時の注意は、これまで以上に重要になっています。サイバー犯罪者や悪質な広告主は、訪問者を騙して有害な行動を取らせることを目的とした不正ウェブサイトを絶えず作成しています。これらのウェブサイトの多くは、偽のCAPTCHA認証、偽のマルウェア警告、正規のセキュリティソフトウェアや信頼できるサービスからのものに見せかけた偽のセキュリティ警告など、誤解を招くような手口を利用しています...

ExploreOpenWin

アドウェア
Mac ユーザーは、かつてはマルウェアの猛攻撃に対して比較的免疫が高いと考えられていましたが、さまざまな危険な存在の標的になることが増えています。そのような敵対者の 1 つは、悪名高い AdLoad ファミリのメンバーであるアドウェア ExploreOpenWin です。 AdLoad ファミリは、主にユーザーのデバイスに不要な広告を配信することに焦点を当てたよく知られたマルウェア グループ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
28,879
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
26,175
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
21,506
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...