Sajber podzemlje prolazi kroz tektonski poremećaj izazvan pojavom nove, izuzetno agresivne pretnje. Ransomware-as-a-Service (RaaS) operacija pod nazivom The Gentlemen zabeležila je istorijski najbrži rast na sceni kibernetičkog kriminala. Sa poslovnim modelom koji ruši dosadašnje standarde profitabilnosti za saradnike, ova grupa je u kratkom roku uspela da privuče ogroman broj operativaca, što je rezultiralo nezapamćenim skokom od 420% u broju uspešnih i registrovanih napada u odnosu na kraj prošle godine.

Ovaj fenomen ne predstavlja samo statistički kuriozitet, već ozbiljan signal za promenu strategije odbrambenih timova (Blue Teams) i administratora IT sistema širom sveta. Profesionalna analiza strukture, tehničkih rešenja i ekonomske strategije grupe The Gentlemen otkriva na koji način ovaj akter redefiniše dinamiku savremenih sajber pretnji.

Ekonomska anomalija: Ponuda koja se ne odbija

Uspeh grupe The Gentlemen ne leži primarno u revolucionarnom kodu ili do sada neviđenim tehnikama eksploatacije, već u agresivnom ekonomskom inženjeringu. Tradicionalni RaaS modeli, koje su popularizovale grupe poput LockBit, BlackCat ili REvil, funkcionisali su na principu raspodele profita gde jezgro grupe (razvojni tim) uzima između 15% i 30% od svake isplaćene otkupnine, dok saradnicima (affiliates) koji vrše sam upad u mrežu ostaje 70% do 85%.

The Gentlemen je razbio ovaj šablon ponudom od čak 90% udela u otkupnini za svoje saradnike.

Ostavljajući sebi svega 10% profita, jezgro grupe je svesno žrtvovalo trenutnu marginu zarade zarad masovnosti i brzog preuzimanja tržišnog udela. Ova strategija je izazvala masovnu migraciju iskusnih „pentestera“ i operativaca iz drugih, etabliranih ransomware klanova. Rezultat je eksplozivna ekspanzija i sposobnost paralelnog izvođenja stotina složenih operacija širom sveta.

Tehnički profil: Brzina, multiplatformska podrška i taktika dvostruke ucene

Iza prepoznatljivog imena i ciničnog brendiranja stoji sofisticirana zlonamerna infrastruktura. Tehnički tim grupe razvio je enkriptor koji se oslanja na moderne programske jezike, prvenstveno Rust i Go (Golang). Izbor ovih jezika pruža im ključne prednosti:

1. Multiplatformska pretnja

Kôd pisan u Rust-u omogućava laku portabilnost. Isti bazični malver može se kompajlirati za napade na:

Windows Server okruženja (uključujući Active Directory infrastrukturu).

Linux distribucije koje pokreću kritične korporativne aplikacije.

VMware ESXi i druge hipervizore, što napadačima omogućava da jednim pokretanjem skripte enkriptuju na desetine virtuelnih mašina odjednom.

2. Izuzetna brzina enkripcije

The Gentlemen koristi hibridne algoritme enkripcije (najčešće kombinaciju AES-256-GCM i RSA-4096, ili ChaCha20-Poly1305). Malver primenjuje tehniku delimične (intermisione) enkripcije – umesto da zaključava kompletne fajlove, on šifruje samo određene blokove podataka (npr. svaki deseti megabajt). Ovo drastično skraćuje vreme potrebno za kompromitovanje sistema i onemogućava tradicionalne sisteme zaštite da blagovremeno detektuju anomaliju u I/O (input/output) operacijama na diskovima.

3. Savršeno uigrana dvostruka ucena (Double Extortion)

Pre samog pokretanja procesa enkripcije, saradnici grupe provode dane (nekada i nedelje) unutar kompromitovane mreže vršeći mapiranje i eksfiltraciju podataka. Osetljive informacije, finansijski izveštaji, intelektualna svojina i lični podaci zaposlenih prebacuju se na eksterne cloud servere pod kontrolom napadača. Ukoliko žrtva poseduje adekvatne, funkcionalne rezervne kopije (backup) i odbije da plati ključ za dekripciju, aktivira se drugi stepen ucene – pretnja javnim objavljivanjem ukradenih podataka na njihovom “Name and Shame” portalu na Tor mreži.

Vektori napada i lateralno kretanje

Analiza incidenata povezanih sa grupom The Gentlemen pokazuje da saradnici koriste širok spektar početnih vektora kompromitovanja sistema (Initial Access):

Zloupotreba javno dostupnih ranjivosti: Fokus je na neadekvatno ažuriranim VPN mrežnim prolazima, firewall uređajima i specifičnim bezbednosnim propustima na enterprise platformama.

Kompromitovani kredencijali (RDP/VPN): Kupovina validnih korisničkih imena i lozinki na “Initial Access Broker” tržištima, koji su prethodno ukradeni putem info-stealer malvera.

Sofisticirani Phishing: Ciljane imejl kampanje usmerene ka zaposlenima sa visokim privilegijama unutar organizacija.

Nakon inicijalnog proboja, napadači pokazuju visok nivo veštine u lateralnom kretanju (Lateral Movement). Koristeći legitimne administrativne alate (tzv. Living off the Land tehnika) poput PowerShell-a, WMI-ja i popularnih alata za auditing mrežnog okruženja, oni uspevaju da ostanu neprimećeni sve do trenutka sticanja statusa domenskog administratora (Domain Admin).

Kako podići nivo otpornosti protiv “The Gentlemen” pretnje?

Skok od 420% u intenzitetu napada jasno ukazuje da tradicionalni, reaktivni pristup bezbednosti više nije dovoljan. Organizacije moraju hitno implementirati sledeće odbrambene mere kako bi neutralisale tehnike koje ova grupa koristi:

1. Robustan i izolovan sistem rezervnih kopija (Immutable Backup)

Najefikasnija odbrana od ucenjivačkog softvera je nemogućnost uništavanja rezervnih kopija. Backup sistemi moraju biti koncipirani tako da budu nepromenljivi (immutable) i fizički ili logički odvojeni od primarne mreže (Air-Gapped). Ako napadač stekne administratorska prava na primarnom domenu, on ne sme imati pristup konzoli za upravljanje rezervnim kopijama.

2. Implementacija EDR/XDR rešenja i 24/7 monitoring

Standardni antivirusni programi bazirani na potpisima (signatures) nemoćni su pred Rust i Go enkriptorima koje grupa neprestano modifikuje. Neophodno je korišćenje Endpoint Detection and Response (EDR) sistema koji prate ponašanje procesa u realnom vremenu. Svaki pokušaj masovnog menjanja ekstenzija fajlova ili nagli skok korišćenja CPU resursa od strane nepoznatog procesa mora automatski pokrenuti izolaciju inficiranog hosta sa mreže.

3. Striktna segmentacija mreže i Zero Trust arhitektura

Sprečavanje lateralnog kretanja ključ je za lokalizaciju štete. Mreža mora biti segmentisana tako da kompromitovanje jedne radne stanice ili perifernog servera ne znači automatski i pad centralne baze podataka ili ključnih servera.

4. Obavezna višenivojska autentifikacija (MFA)

S obzirom na to da se grupa u velikoj meri oslanja na pokradene kredencijale, implementacija MFA na svim eksternim pristupnim tačkama (VPN, e-mail, cloud portali) smanjuje rizik od neovlašćenog pristupa za više od 90%.

Zaključak

Grupa The Gentlemen je školski primer kako se tržišna ekonomija i agresivni kapitalizam primenjuju u svetu sajber kriminala. NJihov model od 90% udela za saradnike stvorio je opasan presedan i visoko motivisanu armiju napadača.

Za IT sistemske administratore i stručnjake za bezbednost, ovaj eksplozivan rast je jasan poziv na akciju. Vreme za reakciju tokom napada meri se minutima, a jedini način za opstanak organizacije jeste izgradnja visoke sajber otpornosti – gde su sistemi koncipirani tako da prežive i brzo se oporave čak i kada napadač uspe da prođe prvu liniju odbrane.

Leave a Reply