Świat cyberbezpieczeństwa wstrzymał oddech po bezprecedensowym włamaniu do systemów wewnętrznych grupy The Gentlemen, która w 2026 roku wyrosła na drugą najaktywniejszą organizację ransomware na świecie z ponad 400 ofiarami na koncie. Dzięki naruszeniu bazy danych hostingu 4VPS, badacze Check Point Research uzyskali rzadki wgląd w działania operacyjne grupy.
The Gentlemen mimo swojej niszczycielskiej skali, jest zarządzana przez zaledwie dziewięciu operatorów skupionych wokół administratora o pseudonimie zeta88. Ten doświadczony cyberprzestępca, wywodzący się z programu Qilin, stworzył nową potęgę w zaledwie trzy dni, wykorzystując do budowy panelu administracyjnego zaawansowane chińskie modele sztucznej inteligencji, takie jak DeepSeek i Qwen.
Sukces grupy opiera się na agresywnym modelu biznesowym oferującym partnerom aż 90% zysków, co pozwoliło na błyskawiczne przejęcie najbardziej doświadczonych hakerów z konkurencyjnych programów. Ujawnione logi z czatów i negocjacji pokazują bezwzględną skuteczność grupy, która nie tylko automatyzuje ataki, ale w której sam administrator osobiście nadzoruje proces szyfrowania danych u ofiar. Strategia The Gentlemen opiera się na brutalnej eksploatacji niezałatanych urządzeń sieciowych i luk w VPN-ach, takich jak CVE-2024-55591, co pozwala im na błyskawiczne przejęcie kontroli nad domeną i jednoczesne uderzenie we wszystkie punkty końcowe.
– Uzyskanie tak szerokiego wglądu w aktywną operację ransomware zdarza się rzadko. To nie są anonimowe postacie działające w cieniu, lecz profesjonaliści posiadający konkretne stanowiska, oczekiwania co do wyników i model przychodowy. Administrator zbudował ich platformę ataku w trzy dni przy użyciu sztucznej inteligencji. Jedno włamanie stało się kluczem do kolejnej ofiary. Mamy do czynienia z przestępczością zorganizowaną o mentalności startupu i specjaliści bezpieczeństwa muszą zacząć ją tak traktować – mówi Eli Smadja, menedżer grupy w Check Point Research.
Szczególnie alarmujący dla liderów biznesu jest przypadek brytyjskiej firmy konsultingowej, której dane posłużyły grupie jako „pomost” do ataku na tureckiego klienta. W ramach wyrafinowanego szantażu hakerzy publicznie oskarżyli Brytyjczyków o bycie ich nieświadomym brokerem dostępu, próbując tym samym skłócić partnerów biznesowych i wymusić drogę sądową między ofiarami. Wg Check Point Research, ten profesjonalny model „biznesowy” pokazuje, że współczesne ransomware to nie tylko złośliwy kod, ale przede wszystkim doskonale zorganizowana i skalowalna machina do zarabiania pieniędzy, wykorzystująca najnowsze zdobycze technologii AI do destabilizacji globalnego rynku.





