The Gentlemen勒索软件深度分析:90/10分成模式如何催生2026年第二活跃的RaaS组织
The Gentlemen勒索软件组织以90/10的利润分成模式(高于行业标准的80/20)迅速崛起为2026年第二活跃的勒索软件团伙,自2025年中成立以来已公布332名受害者,其中240+为2026年新增。安全公司Check Point的最新调查揭露了该组织运营者的身份——一名来自俄罗斯乌德穆尔特共和国的黑客。
组织画像:从零到第二只用了一年
The Gentlemen的崛起速度在勒索软件历史上几乎前所未有。该组织于2025年中期首次出现在Breachforums等网络犯罪论坛上,以"勒索软件即服务"(RaaS)模式运营,向加盟的攻击者(affiliate)提供勒索软件工具包、管理面板和技术支持。
根据Check Point Software在2026年4月发布的研究报告,The Gentlemen的运营策略核心是其远超行业标准的利润分成:
| 勒索软件组织 | 运营商分成 | 加盟商分成 | 2026年受害者数 |
|---|---|---|---|
| The Gentlemen | 10% | 90% | 240+ |
| 行业标准 | 20% | 80% | — |
| LockBit (历史) | 20-30% | 70-80% | — |
| BlackCat/ALPHV | 15-25% | 75-85% | — |
这一策略的效果立竿见影。Check Point指出,90/10的分成比例正在"通过吸引来自竞争项目的有经验运营商来加速该组织的增长"。这些经验丰富的攻击者带来了成熟的入侵技巧和已有的企业网络访问权限,使得The Gentlemen的攻击成功率和受害者数量快速攀升。
运营者追踪:Hastalamuerte/Zeta88的真实身份
Check Point的调查最为引人注目的发现是对该组织运营者身份的追踪。安全研究人员通过入侵The Gentlemen的后端基础设施,确认该组织的管理员和主要运营者使用昵称Zeta88在俄语网络犯罪论坛上活动,此前使用Hastalamuerte这一昵称。
进一步的情报分析揭示了以下关键信息:
- 注册记录:Hastalamuerte在2019年至2026年间在近十个网络犯罪论坛注册,包括Exploit、Breachforums、Ramp_V2、BHF、Raidforums和Nulled。
- 地理位置:情报公司Intel 471的数据显示,Hastalamuerte于2025年1月从俄罗斯乌德穆尔特共和国首府伊热夫斯克(Izhevsk)的IP地址注册Breachforums。
- 语言特征:该用户使用俄语和英语交流。
- 角色:负责组装勒索软件加密器(locker)和RaaS管理面板、管理支付、接收所有赎金的10%分成。
伊热夫斯克这座城市在网络安全领域并非无名——它是著名的伊热夫斯克机械厂(Izhmash)所在地,也是AK-47突击步枪的诞生地。如今,它似乎也成为了新一代勒索软件基础设施的运营中心。
攻击手法:VPN/防火墙为入口,数小时内加密全网
The Gentlemen的攻击手法以快速和高效著称。Check Point的研究表明,该组织的典型攻击链如下:
# 典型攻击链重建(基于Check Point报告)
# 阶段1:初始访问 - 利用互联网暴露的VPN/防火墙设备
# 目标设备:Fortinet SSL VPN、Palo Alto GlobalProtect、Ivanti Pulse Secure
# 漏洞类型:已知CVE + 弱密码 + 默认凭证
# 阶段2:横向移动
# 使用合法的远程管理工具(如AnyDesk、TeamViewer)
# 禁用端点检测和响应(EDR)工具
# 获取域管理员权限
# 阶段3:数据窃取
# 使用Rclone、Megasync等工具外传敏感数据
# 为双重勒索(double extortion)做准备
# 阶段4:加密部署
# 通过组策略(GPO)或PsExec批量部署加密器
# 从入侵到全网加密通常在4-8小时内完成
这种快速加密能力意味着传统的"发现入侵后响应"模式在面对The Gentlemen时几乎无效。企业必须在攻击链的早期阶段(初始访问和横向移动)就进行检测和阻断。
RaaS生态的经济学:为什么90/10分成是颠覆性的
勒索软件即服务(RaaS)的商业模式本质上是一个双边平台——运营商提供工具和基础设施,加盟商提供入侵能力和目标网络访问权限。分成比例直接决定了平台对高质量加盟商的吸引力。
从经济学角度看,90/10分成意味着:
加盟商激励最大化:每100万美元赎金中,加盟商获得90万美元,远高于行业标准的80万美元。对于一个年收入数百万美元的加盟运营商来说,这10%的差异意味着数十万美元的额外收入。
运营商的规模经济:虽然运营商只获得10%,但通过吸引更多加盟商,总交易量可以大幅增长。假设332名受害者平均赎金50万美元,运营商的10%分成仍高达1,660万美元。
竞争壁垒:其他RaaS组织面临两难——要么提高分成比例(降低利润),要么失去优秀加盟商。这可能引发RaaS行业的"分成战"。
# RaaS经济学模型
def calculate_raas_revenue(victims, avg_ransom, operator_split):
total_ransom = victims * avg_ransom
operator_revenue = total_ransom * operator_split
affiliate_revenue = total_ransom * (1 - operator_split)
return {
'total': total_ransom,
'operator': operator_revenue,
'affiliate': affiliate_revenue,
'per_victim': avg_ransom
}
# The Gentlemen (90/10)
gentlemen = calculate_raas_revenue(332, 500000, 0.10)
# 结果: 运营商 ~16.6M USD, 加盟商 ~149.4M USD
# 行业标准 (80/20)
standard = calculate_raas_revenue(332, 500000, 0.20)
# 结果: 运营商 ~33.2M USD, 加盟商 ~132.8M USD
防御策略:对抗快速加密攻击的实战指南
面对The Gentlemen这类以速度取胜的勒索软件组织,企业需要将防御重心从"检测加密行为"前移到"阻断初始访问":
1. VPN/防火墙加固
- 对所有互联网暴露的VPN设备实施严格的补丁管理
- 禁用不必要的VPN协议(如IKEv1)
- 实施MFA强制要求
- 限制VPN登录的地理来源
2. 横向移动检测
- 监控域管理员账号的异常使用
- 部署欺骗技术(deception technology)——在关键路径上放置蜜罐
- 对远程管理工具(RMM)实施应用白名单
3. 数据外传防护
- 监控异常的大规模数据传输
- 阻断已知的数据外传工具域名(Rclone、Megasync等)
- 对敏感数据实施DLP策略
4. 应急响应准备
- 确保离线备份的完整性和可恢复性
- 制定并演练勒索软件应急响应预案
- 考虑购买网络安全保险
| 防御层 | 措施 | 优先级 |
|---|---|---|
| 网络边界 | VPN加固 + MFA | P0 |
| 端点 | EDR + 应用白名单 | P0 |
| 身份 | 特权账号监控 | P1 |
| 数据 | DLP + 异常传输检测 | P1 |
| 备份 | 离线备份 + 定期恢复测试 | P0 |
数据来源与参考文献
- Check Point Software. "The Gentlemen Ransomware: 90/10 Affiliate Revenue Split Analysis." April 2026.
- Krebs on Security. "Who Runs the Ransomware Group 'The Gentlemen'?" krebsonsecurity.com, June 2026.
- Intel 471. Threat Intelligence Report on Hastalamuerte/Zeta88. 2026.
- MITRE ATT&CK. "Ransomware-as-a-Service (RaaS) Tactics, Techniques, and Procedures." 2026.
更新时间: 2026-06-23
评论