🗓️ Contexte

Source : DataBreachToday (euroinfosec), publié le 11 mai 2026. L’article rapporte une fuite de données affectant le groupe ransomware-as-a-service ‘The Gentlemen’, apparu mi-2025, dont les communications internes ont été exfiltrées et publiées sur le forum cybercriminel Breached.

🔓 Incident de fuite

Le 4 mai 2026, un utilisateur du forum Breached a mis en vente les données volées pour 10 000 dollars en bitcoin. Le vendredi suivant, les données ont été publiées gratuitement via un lien MediaFire. Le contenu comprend :

  • 8 200 lignes de chat interne
  • Images de systèmes infectés
  • Horodatages correspondant à des horaires de travail moscovites
  • Adresses de wallets bitcoin utilisées pour échanges internes et achats d’équipements

🛠️ Tactiques et opérations révélées

L’analyse des données (par Milivoj Rajić, DynaRisk) révèle les pratiques opérationnelles du groupe :

  • Accès initial via credentials compromis sur équipements réseau Fortinet
  • Utilisation du dépôt GitHub open-source ZeroPulse pour l’administration à distance
  • Utilisation d’OpenConnect pour accéder aux VPN victimes
  • Emploi d’un outil EDR Killer
  • Exploitation de faux scripts CVE
  • Techniques living-off-the-land (outils légitimes d’administration IT)
  • Modification des Group Policy Objects (GPO)
  • Obtention de privilèges domain admin dans Active Directory
  • Reconnaissance approfondie : cartographie des environnements de virtualisation, NAS, serveurs de sauvegarde, Exchange servers, baies de stockage
  • Chiffrement ciblant Windows, Linux, NAS, BSD et ESXi

🎯 Victimes et ciblage

  • Plus de 340 victimes non-payantes listées sur le site de fuite de données (au mois d’avril)
  • Secteurs touchés : manufacturing, healthcare, insurance
  • Victimes géographiques : Thaïlande, États-Unis, Roumanie
  • Perturbation du producteur d’énergie roumain Complexul Energetic Oltenia (période de Noël)
  • Une victime possédant des NDAs avec Sony et Barclays menacée de publication

🧩 Modèle RaaS et évolution

  • Malware développé en Go, capable de chiffrement silencieux multi-plateforme
  • Recrutement d’affiliés via darkweb, partage de revenus à 90% pour les affiliés (base)
  • Nouveau modèle en avril 2026 : 97% pour les affiliés sur les attaques d’extorsion de données seules (sans chiffrement)
  • Recours aux initial access brokers et aux clouds of logs (credentials volés par infostealers)
  • Après publication d’un décrypteur gratuit par Bedrock Safeguard (Canada) en avril 2026, le groupe a émis un patch le jour même

📌 Type d’article

Article de presse spécialisée à visée analytique, combinant rapport d’incident et analyse de menace, dont le but principal est de documenter la fuite interne du groupe ‘The Gentlemen’ et d’en extraire les enseignements opérationnels sur leur fonctionnement.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1484.001 — Domain Policy Modification: Group Policy Modification (Defense Evasion)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1018 — Remote System Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1069 — Permission Groups Discovery (Discovery)
  • T1078.002 — Valid Accounts: Domain Accounts (Privilege Escalation)
  • T1219 — Remote Access Software (Command and Control)
  • T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)
  • T1657 — Financial Theft (Impact)
  • T1485 — Data Destruction (Impact)

Malware / Outils

  • The Gentlemen Ransomware (ransomware)
  • ZeroPulse (tool)
  • OpenConnect (tool)
  • EDR Killer (tool)

🟡 Indice de vérification factuelle : 35/100 (moyenne)

  • ⬜ databreachtoday.eu — source non référencée (0pts)
  • ✅ 6198 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : The Gentlemen (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.databreachtoday.eu/tables-turned-gentlemen-ransomware-group-suffers-data-leak-a-31654