Siber güvenlik dünyasında hızla yükselen The Gentlemen fidye yazılımı grubu, kurban sayısı bakımından bu yılın en aktif ikinci grubu haline geldi. Check Point araştırmacılarına göre, grup 2025 ortasında kurulduğundan bu yana en az 332 kurban yayımladı ve 2026'da bu sayı 240'ı aştı. Grubun başarısının ardında, ortaklarına fidye gelirinin %90'ını vaat eden agresif bir işe alım stratejisi yatıyor. Sektör standardı %80-20'nin çok üzerindeki bu oran, rakip programlardan deneyimli operatörleri cezbederek grubun büyümesini hızlandırıyor.
The Gentlemen, bir 'fidye yazılımı hizmeti' (RaaS) olarak faaliyet gösteriyor ve genellikle VPN'ler ve güvenlik duvarları gibi internet bağlantılı cihazları hedef alıyor. İçeri sızdıktan sonra saatler içinde tüm ağı şifreleyerek hızlı hareket ediyor. Check Point, grubun yöneticisi ve birincil operatörünün Rusça siber suç forumlarında Zeta88 takma adını kullandığını ve daha önce Hastalamuerte olarak bilindiğini tespit etti. Zeta88/Hastalamuerte, fidye yazılımını ve RaaS panelini oluşturan, ödemeleri yöneten ve tüm fidyelerin %10'unu alan kişi.
İstihbarat firması Intel 471, Hastalamuerte kullanıcısının 2019'dan bu yana Exploit, Breachforums, Raidforums gibi bir düzine siber suç forumuna kaydolduğunu ortaya çıkardı. Kayıt bilgileri, kullanıcının Rusya'nın Udmurt Cumhuriyeti'nin başkenti Izhevsk'ten bağlandığını gösteriyor. Ayrıca, [email protected] e-posta adresinin bir Apple hesabı ve 04 ile biten bir telefon numarasıyla bağlantılı olduğu belirlendi. Bu e-posta, GitHub'da SantaMuerte kullanıcı adıyla bir hesaba da bağlı; bu hesap üzerinde çeşitli kötü amaçlı yazılım araçları geliştiriliyor.
Daha derin bir araştırma, Hastalamuerte'nin Telegram ID'sinin 79127650004 Rus telefon numarasıyla ilişkili olduğunu gösterdi. Bu numara, sızdırılmış Rus hükümet veritabanlarında Alexander Andreevich Yapaev adlı 36 yaşındaki bir Izhevsk sakiniyle eşleşiyor. Yapaev, LinkedIn'de kendini Uralenergo Udmurtia şirketinde B2B pazarlama müdürü olarak tanıtıyor. Siber güvenlik uzmanları, Yapaev'in erken dönem forum gönderilerinde deneyimsiz olduğunu ve bu nedenle kimliğini gizleme konusunda hatalar yaptığını belirtiyor. Rus hacker'ların genellikle Rusya'daki faaliyetlerine dokunulmadığı için bu tür hatalar yapabildiği ifade ediliyor.