チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)は5月15日、ランサムウェアグループ「The Gentlemen」の流出した内部データに基づく調査結果を公開した。その概要は以下のとおり。
・RaaSグループ「The Gentlemen」は、2026年に世界で2番目に活発なランサムウェアグループとなり、400件以上の被害事例が公表されている。
・2026年5月、同グループの内部システムが侵害され、その運営体制の全容が露呈した。
・The Gentlemenは、1人の管理者(zeta88/hastalamuerte)を中心として組織され、名前が確認されている約9名のオペレーターによって運営されている。この管理者はプラットフォームを管理するだけでなく、実際の暗号化攻撃にも直接関与している。
・この管理者は、Qilinランサムウェアプログラムの元アフィリエイトであることが判明した。このサイバー犯罪者は、既存の組織のもとでその手口を学んだ後、競合する組織を立ち上げた経歴を持つ。
・初期アクセス経路は、パッチ未適用のエッジデバイスや購入された認証情報にほぼ限定されている。
・ある被害者から窃取されたデータが、その後、その被害者の顧客に対する攻撃に利用されていた。こうした連鎖的被害は、実際に確認されている攻撃手法である。
・このグループは、中国のAIモデル「DeepSeek」や「Qwen」などのAIコーディングアシスタントを活用し、ランサムウェア開発を加速させている。管理者はAIによるコーディング支援を利用して、RaaSの管理パネル全体をわずか3日間で構築していた。
・チェック・ポイントは、本件について法執行機関に通知している。
2026年5月4日、RaaSグループ「The Gentlemen」の管理者は、アンダーグラウンドフォーラム上で、同グループの内部バックエンドデータベースが侵害され、情報が流出したことを認めた。これは、同グループがインフラ運用に利用していたホスティングプロバイダー「4VPS」の侵害に関連している可能性が高いとみられる。
CPRは、流出データが削除される前に、その一部を入手。その中には、内部チャットログ、運営メンバーの一覧、身代金交渉の記録、ツール運用に関する議論などが含まれる。これらは、防御側が入手することは極めて稀な、ランサムウェア運営の内部実態を明らかにする情報である。
技術的分析の詳細は、CPR調査レポートの完全版で見ることができる。
関連リンク