谁在运营勒索软件组织'The Gentlemen'?

Krebs on Security 新闻

摘要

对勒索软件组织'The Gentlemen'的调查揭示了其管理员(化名Hastalamuerte/Zeta88)的真实身份线索。该管理员来自俄罗斯伊热夫斯克,以俄语为母语,通过90/10的赎金分成招募合作伙伴。

<p>一个名为<strong>The Gentlemen</strong>的网络犯罪组织已迅速成为按受害者数量计算第二活跃的勒索软件团伙,通过激进的招募策略(承诺向合作伙伴支付受害者所支付赎金的90%)吸引了大量有才华的黑客。本文探讨了指向The Gentlemen勒索软件组织管理员真实身份的线索。</p> <div id="attachment_73785" style="width: 757px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73785" decoding="async" class=" wp-image-73785" src="https://krebsonsecurity.com/wp-content/uploads/2026/06/thegentlemen.png" alt="" width="747" height="492" /><p id="caption-attachment-73785" class="wp-caption-text">The Gentlemen勒索软件组织管理员Hastalamuerte于2026年5月在Breachforums上创建并分享的图片。图片来源:ke-la.com。</p></div> <p>安全公司<strong>Check Point Software</strong>的专家一直在密切追踪The Gentlemen的漏洞利用活动,这是一个所谓的“勒索软件即服务”(RaaS)产品,向合作伙伴支付高额报酬以帮助传播该组织的恶意软件。</p> <p>“90/10的合作伙伴收入分成——相较于行业标准的80/20——通过吸引来自竞争项目的经验丰富的运营者,加速了该组织的增长,”研究人员在4月写道。</p> <p>Check Point <a href="https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/" target="_blank" rel="noopener">发现</a>,按受害者数量计算,The Gentlemen是今年迄今为止第二活跃的勒索软件团伙,自2025年年中该组织成立以来,已声称至少有332名受害者,仅在2026年就超过240名。</p> <p>据Check Point称,该组织以面向互联网的设备(VPN、防火墙)为入口点,一旦进入,就会在数小时内迅速加密整个网络。</p> <p>Check Point表示,该勒索软件组织的管理员和主要运营者在俄语网络犯罪论坛上使用昵称<strong>Zeta88</strong>,此人此前曾使用化名<strong>Hastalamuerte</strong>。Check Point指出,<a href="https://www.kelacyber.com/blog/the-gentlemen-ransomware-internal-chat-leak-analysis-2026/" target="_blank" rel="noopener">该组织后台基础设施的一次入侵</a>清楚表明,Hastalamuerte/Zeta88是负责组装加密器和RaaS控制面板、管理付款的人,并且基本上是整个程序的管理员,收取所有赎金的10%。<span id="more-73768"></span></p> <h2>HASTALAMUERTE是谁?</h2> <p>网络情报公司<strong>Intel 471</strong>显示,用户Hastalamuerte是一名俄语和英语使用者,从2019年至今已在近十几个网络犯罪论坛上注册,包括Exploit、Breachforums、Ramp_V2、BHF、<strong>Raidforums</strong>和<strong>Nulled</strong>。</p> <p>Intel 471透露,Hastalamuerte于2025年1月从位于<strong>伊热夫斯克</strong>(俄罗斯乌德穆尔特共和国首府)的一个IP地址注册了Breachforums。同样,用户<strong>Zeta88</strong>于2022年8月从伊热夫斯克的另一个IP地址在英语网络犯罪论坛Breached上注册。</p> <p>Intel 471发现Hastalamuerte于2020年使用邮箱地址<strong>[email protected]</strong>注册了Raidforums(1488是<a href="https://en.wikipedia.org/wiki/Fourteen_Words" target="_blank" rel="noopener">与白人至上主义相关的两个数字符号</a>的常见组合)。在开源情报服务<strong>Epieos</strong>上查询此地址,发现它关联了一个Apple账户和一个以<strong>04</strong>结尾的电话号码。</p> <p>Epieos表示,该Protonmail地址还与一个用户名为<strong>SantaMuerte</strong>的GitHub账户相关联。该账户设置为私密,但<a href="https://connectionrequired.com/gitspective/#/timeline/SantaLaMuerte" target="_blank" rel="noopener">该用户的活动历史</a>显示他们正在关注和开发多种恶意软件工具和漏洞利用程序。</p> <p>2020年4月,Hastalamuerte在犯罪论坛Nulled上表示,可以通过Telegram即时通讯用户名<strong>@hastalamuerte18</strong>联系他们,威胁情报公司<strong>Flashpoint</strong>发现该用户名被分配了唯一的Telegram ID号码<strong>30907522</strong> [完全披露:Flashpoint是本博客的广告商]。</p> <p>违规跟踪服务<strong>Constella Intelligence</strong>报告称,Hastalamuerte的Telegram ID与另一个用户名“<strong>bu4vs</strong>”相关联,并与俄罗斯电话号码<strong>79127650004</strong>相关联。根据Constella中的此电话号码进行关联查询,可从被黑的俄罗斯政府数据库获取多条记录,显示该号码归属于来自伊热夫斯克、36岁的<strong>Alexander Andreevich Yapaev</strong>。</p> <p>Constella显示,该电话号码曾用于在俄罗斯社交媒体平台Pikabu上创建账户,用户名为“<strong>4apai18</strong>”,并显示Yapaev先生曾在多个网站上使用常见姓氏<a href="https://x.com/bu4vs/status/235798656769470465" target="_blank" rel="noopener">Ivanov</a>注册,或使用“Chapaev”(数字4在俄语中常作为“ch”音的简写)。</p> <p>在Intel 471中搜索昵称为SantaMeurte的网络犯罪论坛成员,可以发现一个2020年在俄罗斯黑客论坛Codeby上创建的相同名称的账户。Intel 471显示,该用户最初在Codeby上使用相当直白的昵称<strong>Alexandr 4apaev</strong>注册。</p> <p>Constella发现,Yapaev先生经常使用邮箱地址<strong>[email protected]</strong>。同时,Epieos显示该地址关联到一个Alexander Yapaev的<a href="https://www.linkedin.com/in/yapaev/" target="_blank" rel="noopener">LinkedIn账户</a>,他在其中将自己列为俄罗斯最大的电工和照明产品供应商之一<strong>Uralenergo Udmurtia</strong>公司的B2B营销主管。</p> <p>Yapaev先生未回应多次置评请求。</p> <p>几乎每次我们发布这样的<a href="https://krebsonsecurity.com/category/breadcrumbs/" target="_blank" rel="noopener">Breadcrumbs系列报道</a>时,读者都很好奇,为什么似乎很多来自俄罗斯的网络犯罪分子几乎不隐藏自己的真实身份。事实是——无论是否为俄罗斯人——大多数人一开始并非打算成为头号罪犯,而是随着技能的广度和深度提升,在几年间逐渐被卷入这一领域。</p> <p>另一个重要的动态是,俄罗斯政府通常<a href="https://www.recordedfuture.com/research/dark-covenant-3-controlled-impunity-and-russias-cybercriminals" target="_blank" rel="noopener">收编或无视</a>其境内的网络犯罪活动,前提是黑客不盗窃或攻击俄罗斯的企业和公民。因此,俄罗斯成功的网络犯罪分子通常能免于外国执法机构的起诉和逮捕,只要他们偶尔贿赂正确的人并且不前往国外。而那些打算严格遵循这些不成文规则的网络犯罪分子(至少最初)可能不太担心在网上掩盖自己的踪迹。</p> <p>但最简单的解释是,所有国籍的网络犯罪分子往往在职业生涯早期犯下一些基本的操作安全错误,那时他们还不那么老练,且因粗心而失去的东西要少得多。回顾Hastalamuerte早期在犯罪论坛上的帖子(大约2020年)</p>
查看原文
查看缓存全文

缓存时间: 2026/06/10 18:12

# 谁在运营勒索软件集团“The Gentlemen”? 来源:https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/ 一个名为 **The Gentlemen** 的网络犯罪团伙已跃升为按受害者数量计第二活跃的勒索软件团伙,他们通过激进的招募策略——承诺向附属成员支付受害者赎金的 90%——迅速吸引了一批才华横溢的黑客。本文探讨了指向 The Gentlemen 勒索软件集团管理员真实身份的一些线索。 The Gentlemen 勒索软件集团管理员 Hastalamuerte 于 2026 年 5 月在 Breachforums 上创建并分享的图片。来源:ke-la.com。 安全公司 **Check Point Software** 的专家一直在密切跟踪 The Gentlemen 的活动,这是一个所谓的“勒索软件即服务”(RaaS) 项目,向附属成员提供高额报酬以帮助传播该集团的恶意软件。 研究人员在四月份写道:“90/10 的附属佣金分成(而行业标准是 80/20)通过从竞争项目中吸引有经验的操作员,加速了该集团的增长。” Check Point 发现(https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/)The Gentlemen 是今年迄今按受害者数量计第二活跃的勒索软件集团,自 2025 年年中成立以来,已宣称至少有 332 名受害者,仅 2026 年就超过 240 人。 据 Check Point 称,该集团以面向互联网的设备(VPN、防火墙)为入口点,一旦进入,便会在数小时内迅速加密整个网络。 Check Point 表示,该勒索软件集团的管理员和主要运营者在俄语网络犯罪论坛上使用昵称 **Zeta88**,此人之前曾以 **Hastalamuerte** 的化名活动。Check Point 指出,该集团后端基础设施的一次泄露(https://www.kelacyber.com/blog/the-gentlemen-ransomware-internal-chat-leak-analysis-2026/)清楚地表明,Hastalamuerte/Zeta88 是组装勒索软件和 RaaS 面板、管理付款的人,基本上是整个项目的管理员,收取所有赎金的 10%。 ## HASTALAMUERTE 是谁? 网络情报公司 **Intel 471** 显示,用户 Hastalamuerte 是一名会说俄语和英语的人,从 2019 年至今,在近十几个网络犯罪论坛上注册过,包括 Exploit、Breachforums、Ramp_V2、BHF、**Raidforums** 和 **Nulled**。 Intel 471 透露,Hastalamuerte 于 2025 年 1 月从俄罗斯乌德穆尔特共和国首府 **伊热夫斯克** 的一个互联网地址注册了 Breachforums。同样,用户 **Zeta88** 于 2022 年 8 月从伊热夫斯克的另一个互联网地址注册了英语网络犯罪论坛 Breached。 Intel 471 发现,Hastalamuerte 于 2020 年使用电子邮件地址 **[email protected]** 注册了 Raidforums(1488 是两个常与白人至上主义相关的数字符号的常见组合(https://en.wikipedia.org/wiki/Fourteen_Words))。在开源情报服务 **Epieos** 上查找该地址,发现它关联到一个 Apple 账户和一个尾号为 **04** 的电话号码。 Epieos 表示,该 Protonmail 地址还与一个用户名为 **SantaMuerte** 的 GitHub 账户相关联。该账户设为私密,但该用户的活动历史(https://connectionrequired.com/gitspective/#/timeline/SantaLaMuerte)显示其正在关注和开发多个恶意软件工具和漏洞。 2020 年 4 月,Hastalamuerte 在犯罪论坛 Nulled 上表示,可以通过 Telegram 即时通讯工具名称 **@hastalamuerte18** 联系到他。威胁情报公司 **Flashpoint** 发现,该用户名对应的唯一 Telegram ID 是 **30907522**【完全公开:Flashpoint 是本博客的广告商】。 漏洞跟踪服务 **Constella Intelligence** 报告称,Hastalamuerte 的 Telegram ID 与另一个用户名——**bu4vs**——以及俄罗斯电话号码 **79127650004** 相关联。在 Constella 中通过该电话号码进行关联查询,获取了来自被黑俄罗斯政府数据库的多条记录,显示该号码分配给了一位 36 岁的伊热夫斯克居民——**Alexander Andreevich Yapaev**。 Constella 透露,该电话号码曾用于在俄罗斯社交媒体平台 Pikabu 上创建名为 **4apai18** 的账户,并显示 Yapaev 先生使用常见姓氏 Ivanov(https://x.com/bu4vs/status/235798656769470465)或“Chapaev”(在俄语中,数字 4 常用来表示“ch”音)注册了许多网站。 在 Intel 471 中搜索昵称为 SantaMeurte 的网络犯罪论坛成员,发现一个同名账户于 2020 年在俄罗斯黑客论坛 Codeby 上创建。Intel 471 显示,该用户最初在 Codeby 上注册时使用的昵称毫不掩饰,为 **Alexandr 4apaev**。 Constella 发现 Yapaev 先生经常使用电子邮件地址 **[email protected]**。同时,Epieos 显示该地址关联到一个 Alexander Yapaev 的 LinkedIn 账户(https://www.linkedin.com/in/yapaev/),他在其中自称是 **Uralenergo Udmurtia** 公司的 B2B 营销主管,该公司是俄罗斯最大的电工和照明产品供应商之一。 Yapaev 先生没有回应多次的置评请求。 几乎每次我们发布这类“面包屑”系列文章(https://krebsonsecurity.com/category/breadcrumbs/)时,读者都会好奇为什么似乎有那么多来自俄罗斯的网络犯罪分子基本上不掩饰自己的真实身份。事实是——无论是不是俄罗斯人——大多数人在最初并非有意成为顶级罪犯,而是在数年间随着技能不断提升和磨练,逐渐被卷入这个圈子。 另一个重要的动态是,俄罗斯政府通常要么拉拢、要么无视(https://www.recordedfuture.com/research/dark-covenant-3-controlled-impunity-and-russias-cybercriminals)其境内的网络犯罪活动,只要黑客不窃取或攻击俄罗斯的企业和公民。因此,俄罗斯的成功网络犯罪分子通常可以免受外国执法机构的起诉和逮捕,前提是他们偶尔贿赂合适的人且不前往国外。而那些打算严格遵守这些不成文规则的网络犯罪分子,可能(至少最初)不太担心在网上留下痕迹。 但最简单的解释是,所有国籍的网络犯罪分子在其职业生涯早期,当他们还不太精明且粗心大意的代价较小时,往往会犯下许多基本操作安全错误。回顾 Hastalamuerte 在犯罪论坛上的早期帖子(约 2019–2020 年),显示他当时是一个相对不成熟、技能较低的黑客,仍在努力学习入门并在这些社区中赢得良好声誉。 例如,2020 年 6 月,Hastalamuerte 的 Telegram 账户加入了一个为期数月的培训项目(@pntst),学习如何使用流行的渗透测试工具。他在该黑客训练营中的直率帖子显示,Hastalamuerte 在使用这些工具时颇为吃力。Hastalamuerte 在 @pntst 上的帖子经谷歌翻译后的记录在此处(https://krebsonsecurity.com/wp-content/uploads/2026/06/pntst-chat.txt)。

相似文章

Weekly Update 504

Troy Hunt

Troy Hunt 的每周更新讨论了勒索软件支付正常化问题,提及 Grafana 拒绝支付以及 Instructure 与攻击者达成委婉的“协议”,并批评了对犯罪勒索行为的语言软化。

审判首日 分散蜘蛛黑客认罪

Krebs on Security

分散蜘蛛(Scattered Spider)网络犯罪集团的两名关键成员Thalha Jubair和Owen Flowers在英国认罪,承认参与2024年针对伦敦交通局(Transport for London)的网络攻击以及涉及勒索软件、SIM卡交换和钓鱼攻击的其他攻击活动,这些攻击影响了超过130个组织。