The Gentlemen : le ransomware‑gang qui attire les affiliés en reversant 90 % des rançons
Un nouveau nom est en train de s’imposer dans le paysage du cybercrime : The Gentlemen. Apparue à la mi‑2025, cette opération de type ransomware‑as‑a‑service a connu une croissance fulgurante et, en moins d’un an, serait responsable d’attaques visant environ 240 organisations. Ce qui distingue réellement ce groupe, ce n’est pas seulement l’échelle de ses opérations, mais son modèle économique agressif qui attire des opérateurs de haut niveau : les affiliés empocheraient jusqu’à 90 % du montant des rançons extorquées, loin devant le partage traditionnel du marché.
Un modèle RaaS calibré pour croître rapidement
The Gentlemen fonctionne selon le schéma RaaS (Ransomware as a Service) : une équipe centrale développe et maintient des outils d’intrusion et de chiffrement, une infrastructure de fuite de données et des services d’appui (serveurs, tunnels, panels), tandis que des affiliés « sur le terrain » réalisent les compromis et déploient le ransomware. La particularité ici, c’est la marge très généreuse offerte aux affiliés — 90 % des bénéfices — ce qui constitue une incitation financière majeure. Là où beaucoup de groupes proposent 70/30 ou 80/20, The Gentlemen casse les codes et attire ainsi des opérateurs plus expérimentés et plus nombreux.
Techniques, outils et infrastructure : un arsenal complet
Selon les analyses produites par les équipes de recherche sur les menaces, The Gentlemen offre un ensemble d’outils capable de s’adapter à des environnements variés :
Ce lot d’outils montre que The Gentlemen n’est pas une bande d’amateurs : c’est une opération professionnelle pensée pour la rentabilité et la scalabilité.
Qui sont les victimes ? Les secteurs ciblés
Les observateurs notent une préférence marquée pour des cibles dont l’infrastructure est exposée mais dont la cybersécurité est insuffisante. Les secteurs les plus touchés incluent :
La logique d’attaque est clair : viser des infrastructures où l’impact opérationnel est élevé et la tentation de payer pour retrouver un fonctionnement normal est forte.
Méthodes d’attaque : de l’accès initial à l’extorsion
Une fois engagés, les affiliés suivent des étapes éprouvées mais redoutables :
Ce schéma est classique, mais The Gentlemen l’exécute à grande vitesse grâce à un arsenal automatisé et à un réseau d’affiliés bien rémunérés.
Comment se défendre ? Mesures concrètes pour les entreprises
Face à une menace aussi structurée, la réponse nécessite la combinaison de pratiques basiques solidement appliquées et d’outils avancés :
La prévention reste la stratégie la plus efficace : compliquer l’accès initial et détecter l’intrusion tôt réduit fortement le risque de compromission massive.
Pourquoi ce groupe inquiète‑t‑il autant ?
Outre le nombre d’attaques revendiquées, ce qui rend The Gentlemen particulièrement alarmant, c’est sa capacité à attirer des talents criminels via une offre financière attractive. Une part plus importante des randsons aux affiliés renforce la compétitivité du groupe sur le marché des services d’attaque, accroissant le volume d’opérations et la qualité des assaillants recrutés.
Que peuvent faire les autorités et le secteur privé ?
La coopération internationale reste essentielle : un groupe structuré comme The Gentlemen prospère tant que des canaux financiers et techniques lui restent accessibles.
Surveillance et vigilance pour les prochaines semaines
Les entreprises doivent surveiller leurs journaux d’accès, vérifier la présence de tunnels SystemBC, auditer les comptes administrateurs et s’assurer que les sauvegardes sont intègres. Pour les équipes de sécurité, il s’agit d’un signal fort : les modèles RaaS évoluent et les opérateurs ajustent leurs incitations économiques pour attirer des affiliés plus performants. L’impératif est clair : durcir, détecter et être prêt à répondre rapidement.