Site icon Top Geek Blog

The Gentlemen : le groupe ransomware qui reverse 90% des rançons à ses affiliés et a déjà frappé 240 entreprises — êtes‑vous la prochaine cible ?

Octave

The Gentlemen : le ransomware‑gang qui attire les affiliés en reversant 90 % des rançons

Un nouveau nom est en train de s’imposer dans le paysage du cybercrime : The Gentlemen. Apparue à la mi‑2025, cette opération de type ransomware‑as‑a‑service a connu une croissance fulgurante et, en moins d’un an, serait responsable d’attaques visant environ 240 organisations. Ce qui distingue réellement ce groupe, ce n’est pas seulement l’échelle de ses opérations, mais son modèle économique agressif qui attire des opérateurs de haut niveau : les affiliés empocheraient jusqu’à 90 % du montant des rançons extorquées, loin devant le partage traditionnel du marché.

Un modèle RaaS calibré pour croître rapidement

The Gentlemen fonctionne selon le schéma RaaS (Ransomware as a Service) : une équipe centrale développe et maintient des outils d’intrusion et de chiffrement, une infrastructure de fuite de données et des services d’appui (serveurs, tunnels, panels), tandis que des affiliés « sur le terrain » réalisent les compromis et déploient le ransomware. La particularité ici, c’est la marge très généreuse offerte aux affiliés — 90 % des bénéfices — ce qui constitue une incitation financière majeure. Là où beaucoup de groupes proposent 70/30 ou 80/20, The Gentlemen casse les codes et attire ainsi des opérateurs plus expérimentés et plus nombreux.

Techniques, outils et infrastructure : un arsenal complet

Selon les analyses produites par les équipes de recherche sur les menaces, The Gentlemen offre un ensemble d’outils capable de s’adapter à des environnements variés :

  • Outils de chiffrement multiplateformes : le groupe fournit des charges capables de cibler Windows, Linux, NAS, BSD et même des hôtes ESXi, ce qui augmente drastiquement le spectre des victimes potentielles.
  • Infrastructure de persistance et d’accès : l’exploitation d’infrastructures proxy comme SystemBC facilite le maintien d’un accès discret et l’orchestration d’attaques à distance.
  • Mécanismes de fuite et de publicité des données : The Gentlemen dispose d’un site structuré pour publier les données exfiltrées en cas de non‑paiement, exerçant une pression supplémentaire sur les victimes.
  • Négociations et communications sécurisées : les négociations de rançon se déroulent via des canaux chiffrés, souvent Tox ou autres messageries pair‑à‑pair, compliquant le travail des enquêteurs.
    • Lire  Ce micro-ordinateur espion à 40€ tient dans une clé USB et peut pirater un réseau Wi-Fi en 10 secondes

    Ce lot d’outils montre que The Gentlemen n’est pas une bande d’amateurs : c’est une opération professionnelle pensée pour la rentabilité et la scalabilité.

    Qui sont les victimes ? Les secteurs ciblés

    Les observateurs notent une préférence marquée pour des cibles dont l’infrastructure est exposée mais dont la cybersécurité est insuffisante. Les secteurs les plus touchés incluent :

  • La manufacture et l’industrie : des réseaux OT mal segmentés, des VPN non mis à jour et des accès RDP mal protégés facilitent les intrusions.
  • Les entreprises technologiques : paradoxalement, certaines structures très visibles négligent des segments internes critiques.
  • Les établissements de santé : souvent sous‑équipés en sécurité et particulièrement vulnérables aux conséquences opérationnelles d’un chiffrement massif.

    • La logique d’attaque est clair : viser des infrastructures où l’impact opérationnel est élevé et la tentation de payer pour retrouver un fonctionnement normal est forte.

    Méthodes d’attaque : de l’accès initial à l’extorsion

    Une fois engagés, les affiliés suivent des étapes éprouvées mais redoutables :

  • Accès initial via VPN vulnérables, credentials compromis ou exploitation de services exposés.
  • Mouvement latéral avec escalade de privilèges pour atteindre des serveurs critiques et des hyperviseurs.
  • Exfiltration des données avant chiffrement, pour constituer une menace de publication en cas de refus de paiement.
  • Déploiement du ransomware à grande échelle et publication ultérieure des données sur le site de fuite si la rançon n’est pas payée.

    • Ce schéma est classique, mais The Gentlemen l’exécute à grande vitesse grâce à un arsenal automatisé et à un réseau d’affiliés bien rémunérés.

    Comment se défendre ? Mesures concrètes pour les entreprises

    Face à une menace aussi structurée, la réponse nécessite la combinaison de pratiques basiques solidement appliquées et d’outils avancés :

    Lire  Gemini 3 Pro piraté en 5 minutes : le test qui prouve que l’IA n’est pas (encore) sécurisée
  • Mise à jour et durcissement des accès distants : corriger rapidement les vulnérabilités VPN, limiter les accès RDP et segmenter les réseaux OT/IT.
  • Authentification multifactorielle : imposer la MFA sur tous les accès sensibles et sur les comptes admins.
  • Surveillance proactive : déployer des systèmes de détection d’intrusion, corréler les logs et chercher les signes de mouvement latéral.
  • Plan de sauvegarde résilient : sauvegardes immuables hors ligne et tests réguliers de restauration pour réduire la pression au paiement.
  • Formation et phishing tests : sensibiliser les équipes opérationnelles car souvent l’initialisation provient d’un credential compromis suite à une campagne d’hameçonnage.

    • La prévention reste la stratégie la plus efficace : compliquer l’accès initial et détecter l’intrusion tôt réduit fortement le risque de compromission massive.

    Pourquoi ce groupe inquiète‑t‑il autant ?

    Outre le nombre d’attaques revendiquées, ce qui rend The Gentlemen particulièrement alarmant, c’est sa capacité à attirer des talents criminels via une offre financière attractive. Une part plus importante des randsons aux affiliés renforce la compétitivité du groupe sur le marché des services d’attaque, accroissant le volume d’opérations et la qualité des assaillants recrutés.

    Que peuvent faire les autorités et le secteur privé ?

  • Renforcement du renseignement partagé : accélérer le partage d’indicateurs de compromission (IoC) entre fournisseurs, opérateurs et autorités.
  • Actions ciblées sur l’écosystème RaaS : démanteler les infrastructures de paiement, interdire les services de messagerie utilisés pour négocier.
  • Campagnes sectorielles de durcissement : fournir des guides pratiques et financements ciblés pour les secteurs à risque, comme la santé.

    • La coopération internationale reste essentielle : un groupe structuré comme The Gentlemen prospère tant que des canaux financiers et techniques lui restent accessibles.

    Lire  Identifier les arnaques des brouteurs : comment les repérer et s'en protéger

    Surveillance et vigilance pour les prochaines semaines

    Les entreprises doivent surveiller leurs journaux d’accès, vérifier la présence de tunnels SystemBC, auditer les comptes administrateurs et s’assurer que les sauvegardes sont intègres. Pour les équipes de sécurité, il s’agit d’un signal fort : les modèles RaaS évoluent et les opérateurs ajustent leurs incitations économiques pour attirer des affiliés plus performants. L’impératif est clair : durcir, détecter et être prêt à répondre rapidement.

    Quitter la version mobile