🕵️ Contexte
Source : KrebsOnSecurity — publié le 10 juin 2026. L’article présente une enquête d’attribution sur le groupe ransomware The Gentlemen, identifié comme le deuxième groupe ransomware le plus actif par nombre de victimes.
🦹 Le groupe The Gentlemen
The Gentlemen opère selon un modèle Ransomware-as-a-Service (RaaS) avec une stratégie de recrutement agressive :
- Les affiliés reçoivent 90 % des rançons perçues
- L’administrateur conserve 10 % de toutes les rançons
- Le groupe a rapidement attiré un vivier de hackers talentueux grâce à cette structure financière avantageuse
🔍 Attribution
Selon Check Point, l’administrateur et opérateur principal du groupe :
- Utilise le pseudonyme Zeta88 sur les forums cybercriminels russophones
- Était précédemment connu sous le pseudonyme Hastalamuerte
- Est responsable de l’assemblage du locker et du panneau RaaS
- Gère les paiements et administre l’ensemble du programme
Cette attribution repose sur une brèche dans l’infrastructure backend du groupe, qui a permis de confirmer le rôle central de Hastalamuerte/Zeta88.
📰 Nature de l’article
Il s’agit d’un article d’investigation journalistique à visée d’attribution, publié par KrebsOnSecurity, s’appuyant sur des recherches de Check Point. L’objectif principal est de documenter l’identité opérationnelle de l’administrateur du groupe ransomware The Gentlemen.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1486 — Data Encrypted for Impact (Impact)
- T1583 — Acquire Infrastructure (Resource Development)
Malware / Outils
- The Gentlemen Locker (ransomware)
🟡 Indice de vérification factuelle : 38/100 (moyenne)
- ✅ krebsonsecurity.com — source reconnue (liste interne) (20pts)
- ✅ 893 chars — extrait court (5pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 2 TTP(s) MITRE (8pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : The Gentlemen (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/