Check Point Research深入攻击者服务器,揭露The Gentlemen勒索软件组织快速扩张真相
在今年一次企业安全事件的响应过程中,Check Point Research的研究人员获得了一个罕见的机会,进入与The Gentlemen勒索软件组织某附属成员相关联的在线指挥控制服务器。屏幕上呈现的数字令人震惊:超过1,570个疑似企业受害者的记录静静排列,远超该组织在其公开泄露网站上声称的数字。这些组织的系统已被悄然攻陷,数据暂存,等待被进一步处置。
这不是一个新兴威胁组织的试探性动作,而是一个正在高速运转的犯罪机器的内部切面。
一个按商业逻辑运营的犯罪组织
The Gentlemen自2025年中期浮出水面以来,已在其数据泄露网站上公开列出超过320名受害者,仅2026年前几个月就发动了240起攻击,按受害者数量跻身今年最活跃勒索软件组织的第二位。这个成长速度,堪比当年LockBit 3崛起的早期阶段。
理解这一组织何以扩张如此之快,需要先理解勒索软件即服务(RaaS)的运营逻辑:运营者负责构建攻击工具和基础设施,附属成员负责实施攻击并与运营者分享赎金收益。The Gentlemen在这套模式上做了一个关键调整——将附属成员的分成比例从行业普遍的80%提升至90%。
这10个百分点的差距,在一个以财务利益为核心驱动力的犯罪生态中,产生了显著的虹吸效应。经验丰富的攻击者携带着他们积累的企业网络访问渠道、攻击工具和过往战绩,从其他勒索软件项目转投而来。运营者无需自己创造能力,只需提供更好的分成,能力便会自动聚集。
Check Point Research的分析显示,该组织的攻击覆盖Windows、Linux和ESXi环境,能够支撑大规模且持续扩张的附属成员体系。他们的增长,不来自技术上的突破,而来自商业模式上的优势。
制造业:数字化红利背后的安全代价
中国信息通信研究院数据显示,截至2025年12月,全国工业企业开展数字化改造的比例已达89.6%。智能工厂、工业互联网、远程运维的快速普及,在提升制造效率的同时,也大幅扩展了可被攻击的暴露面。
The Gentlemen的攻击目标选择印证了这一现实。制造业和科技行业构成该组织受害者中的最大比例。他们的入口选择逻辑清晰:寻找暴露于互联网且存在漏洞的基础设施,包括VPN、远程访问网关、防火墙管理门户,并将这些设备作为突破口。
而随着数字化制造对第三方远程接入的依赖日益加深,这类暴露面只会持续扩大。更值得警惕的是,医疗卫生行业已成为The Gentlemen的第三大攻击目标。部分勒索软件组织会出于非正式惯例或自保考量刻意回避攻击医院,The Gentlemen没有任何迹象表明他们遵守这一限制。
从进入到全网加密,只需数小时
Check Point Research响应的那次事件,清晰呈现了The Gentlemen附属成员的攻击剧本。
攻击者抵达时,已建立了域级管理员访问权限。随后,入侵以极快的速度推进:对整个环境的凭证验证,向数十台主机的横向移动,逐一禁用安全防护工具,最终通过域组策略触发全网勒索软件部署——所有联网设备同时被加密,几乎没有留给防御者任何干预窗口。
这不是即兴发挥。这是一套经过记录、测试和反复执行的攻击流程,专为在防御者来得及响应之前最大化破坏而设计。附属成员之所以敢于如此快速推进,在于他们执行的是一份成熟的剧本,而非依赖临场判断。
预防为先:在攻击落地之前将其阻断
Check Point Research的分析揭示了一个关键事实:The Gentlemen的初始访问,几乎完全依赖未修补或配置错误的已知漏洞,而非新型零日攻击。这意味着,他们所利用的弱点,本可以在攻击发生之前就被消除。
这正是"预防为先"理念在终端安全场景中的核心含义——不是在攻击触发后快速响应,而是在威胁落地之前将其阻断。
Check Point Endpoint围绕这一逻辑构建了完整的防御能力。在威胁仿真层面,系统能够在文件执行前对可疑内容进行沙箱检测,识别包括勒索软件载荷在内的零日威胁,不依赖已知签名。在终端检测与响应(EDR)层面,系统持续监控设备行为,能够在横向移动阶段发现攻击者的踪迹——此时往往是阻断攻击最有效的时机,早于勒索软件最终引爆。在数据安全层面,系统对终端数据实施保护,防止数据在加密之前被悄然外泄。上述能力依托ThreatCloud AI的实时威胁情报持续更新,确保防护始终面向最新的攻击变体。
此外,多因素认证、网络分段以及可正常运作的隔离备份,依然是面对任何勒索软件攻击时不可替代的基础防御要素。
The Gentlemen及类似勒索组织的崛起,揭示的是一个更深层的结构性现实:建立一个专业勒索软件运营的门槛已大幅降低,具有吸引力的收益分成足以汇聚来自各方的攻击能力。面对这样一个持续进化、快速扩张的威胁,等待攻击发生后再响应,已不再是可持续的防御策略。
