Внутренние чаты показали, как устроена экономика вымогательства без глянца и пафоса.
Утечка внутренних чатов The Gentlemen стала редким случаем, когда вымогатели потеряли не только часть инфраструктуры, но и контроль над собственным образом. Материалы изучили Ransom-ISAC, KELA и Check Point Research, и каждый отчёт подсветил свою сторону истории: одни разобрали внутреннюю кухню группы, другие — её место на рынке вымогательства, третьи — партнёров, выкупы и следы отдельных кампаний.
Ransom-ISAC описывает утечку как частичную, но очень насыщенную: 22 комнаты Rocket.Chat, 3366 сообщений и 66 подтверждённых жертв за период с ноября 2025 года по конец апреля 2026 года. Команда связывает компрометацию с атакой на хостинг-провайдера 4VPS.SU, после которой The Gentlemen признала утечку части Rocket.Chat, но заявила, что панель управления, блог и шифровальщики якобы не пострадали. В отчёте отдельно выделены собственная C2-платформа G-BOT, активная эксплуатация продуктов Fortinet, применение Velociraptor не по назначению и набор инструментов для кражи данных, перемещения по сети и отключения защитных механизмов.
KELA смотрит на те же материалы шире — как на историю быстрого роста новой RaaS-платформы. По данным компании, за первые месяцы 2026 года The Gentlemen стала второй по активности группировкой после Qilin и набрала около 10% публично заявленных жертв вымогателей.
KELA также указывает на важную деталь: участники внимательно изучали утечку Black Basta и переносили чужие рабочие схемы в свои операции. Речь шла не только о фишинге, но и о работе с OWA, проверке украденных учётных данных на удалённых сервисах, включая VPN, Citrix, Cisco, Fortinet и RDP, а также о выборе целей по выручке, отрасли и степени возможного ущерба.
Не спрашивайте почему мы в MAX.
Отдельный акцент KELA делает на ИИ. В переписке участники обсуждали Qwen, DeepSeek, Kimi и другие модели для написания кода, поиска технических сведений, подготовки переговоров и анализа украденных массивов данных. В одном эпизоде предлагалось арендовать мощности на Vast.ai, чтобы обработать сотни гигабайт информации жертвы и быстрее найти важные панели управления и пути доступа.
Также KELA отмечает возможное использование взломанных OWA-почтовых ящиков не только для фишинга, но и для давления на жертв через чувствительные, в том числе медицинские, данные.
Check Point Research сосредоточилась на партнёрской модели и денежных следах. Компания связывает администратора программы с zeta88, также фигурирующим как hastalamuerte, и указывает на схему 90% выкупа партнёрам и 10% оператору. По собранным образцам шифровальщика команда выделила 29 кампаний и 8 уникальных TOX-идентификаторов, включая контакт администратора. Уникальная часть отчёта Check Point Research — разбор реальной сделки: в одном случае The Gentlemen начали переговоры с 250 000 долларов, а в итоге получили 190 000 долларов.
Check Point Research также разобрала эпизод с The Adaptavist Group: по версии компании, данные, похищенные у британской ИТ-компании, затем использовали при атаке на организацию в Турции. Во время переговоров злоумышленники пытались представить британскую фирму источником доступа и использовать возможный конфликт между компаниями как дополнительный рычаг давления.
В сумме три отчёта складываются в портрет быстро выросшей криминальной платформы, которая совмещает партнёрскую модель, заимствованные у конкурентов приёмы, ИИ-инструменты и атаки на уязвимый периметр. Ransom-ISAC показывает внутреннюю механику The Gentlemen, KELA — масштаб и эволюцию тактик, Check Point Research — кампании, партнёров и финансовую сторону операций.
Главный вывод из этой истории простой: за вывеской «профессиональной» кибергруппировки всё равно стоят люди с обычными слабостями — самоуверенностью, жадностью, конфликтами, ошибками в планировании и привычкой копировать чужие удачные ходы. Чем быстрее такая структура растёт, тем труднее ей сохранять дисциплину и скрывать внутренний хаос за образом хорошо отлаженной машины.