サイバーセキュリティ企業である**Check Point Software**は、高度な「ランサムウェア・アズ・ア・サービス」（RaaS）オペレーションである**「ザ・ジェントルメン」**を綿密に追跡してきました。業界標準の80/20を大幅に上回る、魅力的な90/10のアフィリエイト収益分配は、競合プログラムから経験豊富なオペレーターを引きつけることで、同グループの成長を効果的に加速させています。 **Check Point**によると、**「ザ・ジェントルメン」**は今年、被害者数で2番目にアクティブなランサムウェアグループとなっており、2025年半ばの結成以来、少なくとも332件の公開された被害者を記録し、2026年だけで240件以上を占めています。彼らの手口は、VPNやファイアウォールなどのインターネットに公開されているデバイスを初期侵入口として利用し、侵入後数時間以内にネットワーク全体を暗号化することです。 **Check Point**は、このグループの管理者および主要オペレーターを、ロシア語のサイバー犯罪フォーラムで**Zeta88**というニックネームで特定しており、以前は**Hastalamuerte**として知られていました。同グループのバックエンドインフラの侵害により、**Hastalamuerte**/**Zeta88**がロッカーとRaaSパネルの組み立て、支払い管理、およびオペレーション全体の監督を担当し、すべての身代金の10パーセントを受け取っていることが確認されたと報告されています。 ## Hastalamuerteとは誰か？ サイバーインテリジェンス企業である**Intel 471**は、**Hastalamuerte**がロシア語と英語を話す個人であり、2019年から現在にかけて、**Exploit**、**Breachforums**、**Ramp_V2**、**BHF**、**Raidforums**、**Nulled**を含む約12のサイバー犯罪フォーラムに登録していることを明らかにしています。 **Intel 471**は、**Hastalamuerte**が2025年1月にロシアのウドムルト共和国の首都である**イズヘフスク**のインターネットアドレスから**Breachforums**に登録したことを発見しました。同様に、ユーザー**Zeta88**は2022年8月に別の**イズヘフスク**のIPアドレスから、英語のサイバー犯罪フォーラムBreachedにサインアップしました。 **Intel 471**によるさらなる調査では、**Hastalamuerte**が2020年にメールアドレス**[email protected]**を使用して**Raidforums**に登録したことが示されています。数字の「1488」は、白人至上主義に関連する既知のシンボルです。このアドレスに対する**Epieos**のルックアップは、Appleアカウントと末尾が**04**の電話番号にリンクしています。 **Epieos**はまた、このProtonmailアドレスを、ユーザー名**SantaMuerte**のGitHubアカウントに接続しています。アカウントはプライベートですが、そのアクティビティ履歴は、さまざまなマルウェアツールやexploitの開発および監視への関与を示唆しています。 2020年4月、**Hastalamuerte**は**Nulled**犯罪フォーラムに投稿し、Telegramインスタントメッセンジャー名**@hastalamuerte18**を提供しました。脅威インテリジェンス企業である**Flashpoint**は、このユーザー名がユニークなTelegram ID番号**30907522**に割り当てられていることを確認しました。 侵害追跡サービスである**Constella Intelligence**は、**Hastalamuerte**のTelegram IDが別のユーザー名「**bu4vs**」と、ロシアの電話番号**79127650004**にリンクしていると報告しています。この番号を**Constella**でピボットした結果、侵害されたロシア政府データベースからの複数のレコードが得られ、それをイズヘフスク出身の36歳の**Alexander Andreevich Yapaev**に割り当てました。 **Constella**はまた、この電話番号がロシアのソーシャルメディアプラットフォームPikabuに「**4apai18**」という名前でアカウントを作成するために使用されたこと、そして**Yapaev**氏が「Chapaev」（ロシア語で「ch」が「4」に置き換えられることが多い）という姓を使用してさまざまなウェブサイトに登録していることを発見しました。 **Intel 471**によるニックネーム**SantaMuerte**を持つサイバー犯罪フォーラムメンバーの検索により、2020年にロシアのハッキングフォーラムCodebyに作成されたアカウントが明らかになりました。**Intel 471**によると、このユーザーは当初、より露骨なニックネームである**Alexandr 4apaev**でCodebyに登録していました。 **Constella**は、**Yapaev**氏がメールアドレス**[email protected]**を定期的に使用していたことを示しています。一方、**Epieos**はこのアドレスを、ロシアの主要な電気・照明製品サプライヤーである**Uralenergo Udmurtia**のB2Bマーケティング責任者と自称する**Alexander Yapaev**のLinkedInアカウントにリンクしています。 **Yapaev**氏は、コメントの要請に複数回応じませんでした。 ## なぜオペレーションセキュリティ（OpSec）に明らかな欠陥があるのか？ 多くのサイバー犯罪者、特にロシアを拠点とする人々は、識別可能なデジタルな痕跡を残しているように見えるという観察は一般的です。これは、 hardened criminal になるという当初の意図ではなく、サイバー犯罪への段階的な没入から生じることがよくあります。彼らのスキルは時間とともに進化し、リスクが低いと認識されるため、オペレーションセキュリティ（OpSec）における初期のキャリアミスは頻繁に発生します。 もう一つの重要な要因は、ロシア政府の姿勢です。ロシア国内のビジネスや市民を標的としない限り、国内のサイバー犯罪活動を協力させたり、見過ごしたりすることがよくあります。これにより、特に当初はこれらの不文律に従う意図があった人々にとって、OpSecに対する厳格でないアプローチが奨励され、外国の法執行機関からのある程度の絶縁が提供されます。 例えば、2019年から2020年にかけての**Hastalamuerte**の初期の投稿は、比較的洗練されていないハッカーが基本を学んでいることを示しています。2020年6月、**Hastalamuerte**のTelegramアカウントは、ペネトレーションテストツールの数ヶ月にわたるトレーニングプログラム（@pntst）に参加し、これらのツールを習得する上での初期の苦労を示す率直な投稿がありました。