The Gentlemen RaaS: rapid growth and a new ransomware variant

Kaspersky researchers provide a detailed technical analysis of The Gentlemen, a rapidly growing ransomware-as-a-service (RaaS) group that ranked among the top 10 ransomware actors in the first half of 2026. The group uses a Go-based ransomware with a custom obfuscator, a Go-based backdoor using Yamux for C2 communication, and a newly discovered C-based ransomware variant still in development. Their TTPs include exploiting internet-facing VPNs and firewalls, BYOVD attacks using multiple vulnerable drivers to kill EDR/AV products, lateral movement via GPO deployment and PsExec, network sniffing with netsh, and Active Directory reconnaissance with SharpADWS. The Go ransomware uses Curve25519 + XChaCha20 encryption while the new C variant uses AES256-GCM + RSA via OpenSSL. Targets span manufacturing, IT, healthcare, finance, and logistics across Brazil, China, Indonesia, Taiwan, and Thailand. Full IOCs including hashes, C2 IPs, and vulnerable driver hashes are provided.

Nguồn: https://securelist.com/the-gentlemen-raas/120447. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

Boldly Go312 phút3 ngày trướcAI

The global logger

Bài viết giới thiệu về gói slog trong thư viện chuẩn Go, tập trung vào logger toàn cục (global logger) mặc định. Các hàm cấp cao như slog.Info, slog.Debug thực chất là các bí danh (alias) của phương thức trên logger toàn cục. Mặc dù slog.SetDefault cho phép thay thế logger toàn cục và cập nhật luôn logger của gói log cũ, tác giả khuyên không nên phụ thuộc vào logger toàn cục vì bất kỳ thư viện nhập khẩu nào cũng có thể thay đổi nó, gây ra các tác dụng phụ ảnh hưởng đến kiểm thử và kiến trúc.