**The Gentlemen**, un gang cybercriminel russe, a été très actif dans le paysage du ransomware, compromettant apparemment des centaines d'organisations rien qu'au cours des cinq premiers mois de 2026. Selon **Check Point Research**, ils se sont classés comme le deuxième groupe de ransomware le plus productif cette année, juste derrière **Qilin**. ### Les Gentlemen goûtent à leur propre médecine Aux alentours du 4 mai, **The Gentlemen** a subi une violation de sa base de données backend interne. Les attaquants vendent désormais plus de 16 Go de communications internes, d'outils et de données pour 10 000 $ en Bitcoin. Cet incident offre un aperçu rare du fonctionnement interne d'une opération de ransomware. ### Perspectives de la fuite Bien que la violation ne paralyse pas les opérations de **The Gentlemen**, les données divulguées, y compris un échantillon de 44 Mo analysé par **Check Point Research**, offrent une intelligence précieuse. Cette analyse met en lumière leur structure opérationnelle, leurs tactiques, techniques et procédures (TTPs). ### Comment fonctionnent The Gentlemen Le groupe est dirigé par un individu connu sous le nom de "zeta88", qui supervise le développement de malware, la gestion de l'infrastructure, la sélection des cibles et la négociation. Zeta88 est soutenu par les spécialistes opérationnels "qbit" et "quant", qui se concentrent respectivement sur le scan de vulnérabilités, la reconnaissance, la persistance et l'obtention d'accès via les journaux et les identifiants. L'organisation comprend également une équipe de red teamers, des courtiers d'accès et un spécialiste de la publicité. Bien que non explicitement mentionné, le groupe s'appuie probablement sur des affiliés pour étendre sa portée. Le modèle de paiement incite à la collaboration, zeta88 recevant 10 % de chaque rançon et les 90 % restants étant distribués entre les autres hackers impliqués. Eli Smadja de **Check Point** souligne la structure organisationnelle du groupe comme un facteur clé de son succès, mettant l'accent sur la division claire des responsabilités et l'expérience pratique de l'administrateur en tant qu'ancien affilié. ### Boîte à outils et techniques **The Gentlemen** exploite des vulnérabilités et des techniques d'exploitation connues, combinées à une suite d'environ 30 outils. Leur arsenal comprend des scanners, des VPN, des outils d'accès à distance et des techniques pour échapper aux programmes de détection et de réponse des points d'extrémité (EDR) et aux antivirus, tels que la tactique "bring-your-own-vulnerable-driver". Bien qu'efficace, **Check Point** décrit leur boîte à outils comme "assez mature" plutôt que de pointe. ### Flirt avec l'IA Les membres de **The Gentlemen** ont exploré le potentiel des grands modèles linguistiques (LLM) à des fins malveillantes, notamment pour aider au développement de code. Cependant, ils ont rencontré des limites avec la technologie d'IA actuelle, reconnaissant la nécessité d'une supervision humaine et d'une pensée critique. ### Garder un œil sur la concurrence **The Gentlemen** surveille et discute activement d'autres groupes de ransomware, apprenant de leurs succès et de leurs échecs. Ils ont même exploré des moyens de capitaliser sur la fuite de **Black Basta** de l'année dernière, démontrant leur conscience du paysage des menaces en évolution.