L’ascension et l’identification du groupe de ransomware « The Gentlemen »

Points clés :

• Croissance rapide : « The Gentlemen » est devenu le deuxième groupe de ransomware le plus actif, ayant revendiqué plus de 332 victimes depuis mi-2025.
• Modèle RaaS attractif : Le groupe propose un partage des revenus de 90 % pour les affiliés (contre 80 % en moyenne dans le secteur), ce qui attire des opérateurs expérimentés.
• Identification : L’administrateur, opérant sous les pseudonymes « Hastalamuerte » et « Zeta88 », a été identifié comme étant Alexander Andreevich Yapaev, un résident d’Izhevsk (Russie), grâce à des erreurs de sécurité opérationnelle (OPSEC) et au recoupement de données personnelles (téléphone, e-mail, réseaux sociaux).
• Contexte géopolitique : L’impunité relative dont bénéficient les cybercriminels en Russie, tant qu’ils n’attaquent pas des intérêts nationaux, explique en partie le manque de prudence de certains acteurs.

Vulnérabilités exploitées :

• Le groupe cible principalement les appareils exposés sur Internet, tels que les VPN et les pare-feux, pour pénétrer les réseaux.
• Bien qu’aucune CVE spécifique ne soit mentionnée, la méthode repose sur une exploitation rapide des vulnérabilités de périphériques d’accès distant pour un chiffrement global du réseau en quelques heures.

Recommandations :

• Renforcer l’accès distant : Mettre à jour immédiatement tous les VPN, pare-feux et équipements réseau exposés. Appliquer les correctifs de sécurité dès leur publication.
• Authentification multi-facteurs (MFA) : Implémenter systématiquement le MFA sur tous les points d’entrée distants, car les services vulnérables sont la porte d’entrée privilégiée du groupe.
• Hygiène numérique : Pour les entreprises, surveiller la surface d’exposition et réduire au strict nécessaire les accès Internet vers les équipements d’administration.

Source