Thus Spoke…The Gentlemen

On May 4th, 2026, The Gentlemen RaaS administrator acknowledged that an internal backend database called Rocket had been leaked, exposing nine accounts including zeta88, the program's effective administrator. The leak revealed internal discussions detailing initial access methods through Fortinet and Cisco edge appliances, NTLM relay, and credential logs, along with the group's role divisions and toolsets. Evidence shows evaluation of CVEs including CVE-2024-55591, CVE-2025-32433, and CVE-2025-33073. Leaked ransom negotiations showed a successful payment of 190,000 USD. The group reused stolen data from a UK software consultancy to attack a Turkish company, employing dual-pressure tactics during negotiations. Analysis of ransomware samples identified eight distinct affiliate TOX IDs, indicating the administrator actively participates in infections alongside managing the RaaS program.

Pulse ID: 6a04aad1cd2da41f0087f85d
Pulse Link: https://otx.alienvault.com/pulse/6a04aad1cd2da41f0087f85d
Pulse Author: AlienVault
Created: 2026-05-13 16:46:09

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Cisco #CyberSecurity #Edge #ICS #InfoSec #LUA #OTX #OpenThreatExchange #RAT #RaaS #RansomWare #Turkish #UK #bot #AlienVault

[Перевод] Вирусы-вымогатели в 2026 году: DDoS в нагрузку, вербовка инсайдеров и подрядчики «вслепую»

Вирусы-вымогатели (ransomware) — это вредоносные программы, шифрующие данные жертвы или похищающие их с угрозой публикации, в обмен на выкуп. В 2025 году публично известных атак стало на 47% больше, чем годом ранее, а суммарные выплаты — упали. Группировки в ответ перестраивают тактику: разбираем три ключевых тренда на 2026 год, на которые стоит обратить внимание защищающимся.

https://habr.com/ru/companies/cloud4y/articles/1033098/

#ransomware #шифровальщики #кибербезопасность #информационная_безопасность #DDoS #RaaS #инсайдерские_угрозы #защита_инфраструктуры #киберугрозы_2026 #социальная_инженерия

Sinobi Ransomware: 277 Opfer, 79 % in den USA – Angriffsmuster einer aufstrebenden RaaS-Gruppe

Seit Juli 2025 greift die Gruppe vorrangig mittelständische Unternehmen in Finanz- und Ingenieurwesen an. Die Aktivität nimmt im ersten Quartal 2026 weiter zu.

https://www.all-about-security.de/sinobi-ransomware-277-opfer-79-in-den-usa-angriffsmuster-einer-aufstrebenden-raas-gruppe/

#ransomware #RaaS #phishing

𝐃𝐫𝐚𝐠𝐨𝐧𝐅𝐨𝐫𝐜𝐞 𝐈𝐧𝐭𝐞𝐫𝐯𝐢𝐞𝐰: “𝐇𝐮𝐦𝐚𝐧 𝐅𝐚𝐜𝐭𝐨𝐫 𝐈𝐬 𝐭𝐡𝐞 𝐊𝐞𝐲 𝐭𝐨 𝐄𝐯𝐞𝐫𝐲 𝐀𝐭𝐭𝐚𝐜𝐤”

The interview with DragonForce provides a direct insight into an operational model that, while evolving, continues to rely on well-established dynamics within the ransomware landscape: decentralization, collaboration with external actors, and the systematic exploitation of organizational weaknesses.

https://www.suspectfile.com/dragonforce-interview-human-factor-is-the-key-to-every-attack/

#DragonForce #Interview #RaaS #Ransomware

Mojofull (@furoku)

물류·배달 분야에서 RaaS(서비스형 로봇)가 사람 배송 대비 운영비가 약 절반 수준으로 저렴해지고 있으며, 해당 분야에서 로봇 서비스화가 꾸준히 진전되고 있다는 내용입니다. 물류를 넘어 다른 산업으로의 확장 가능성도 암시합니다.

https://x.com/furoku/status/2043504633398940046

#robotics #raas #logistics #delivery #automation

𝐍𝐨𝐯𝐚 𝐑𝐚𝐧𝐬𝐨𝐦𝐰𝐚𝐫𝐞: 𝐛𝐞𝐭𝐰𝐞𝐞𝐧 𝐩𝐫𝐨𝐩𝐚𝐠𝐚𝐧𝐝𝐚, 𝐭𝐡𝐫𝐞𝐚𝐭𝐬, 𝐚𝐧𝐝 𝐜𝐨𝐧𝐭𝐫𝐚𝐝𝐢𝐜𝐭𝐢𝐨𝐧𝐬 – 𝐰𝐡𝐚𝐭 𝐞𝐦𝐞𝐫𝐠𝐞𝐬 𝐟𝐫𝐨𝐦 𝐝𝐢𝐫𝐞𝐜𝐭 𝐢𝐧𝐭𝐞𝐫𝐚𝐜𝐭𝐢𝐨𝐧 𝐰𝐢𝐭𝐡 𝐭𝐡𝐞 𝐠𝐫𝐨𝐮𝐩

Nova claims to have targeted dozens of organizations and to have conducted negotiations with numerous companies, many of which have allegedly never become public. The group insists that many victims prefer silence to avoid reputational damage.

https://www.suspectfile.com/nova-ransomware-between-propaganda-threats-and-contradictions-what-emerges-from-direct-interaction-with-the-group/

#Interview #Katana #Nova #RaaS #Ransomware

История одного Ransomware или как я спасал бизнес

Ничем не примечательный летний день, жаркая пятница. Неделя была насыщенная и про себя я решил, что было бы недурно закончить сегодня пораньше. Как говорится: хочешь рассмешить бога, расскажи ему о своих планах. Все началось с утреннего звонка коллеги - не может подключиться к корп сети через VPN, не проходит соединение. Ок, открываю Cisco AnyConnect, пытаюсь соединиться иии, действительно. Выдает какую-то ошибку (уже не помню какую), но при этом IP пингуется и я могу подключиться к циске через ASDM. Странно, конечно. Штош, придется ехать в серверную и смотреть на месте. Неспешно собираюсь, а в это время начинают поступать все новые звонки и сообщения. Возникает нехорошее предчувствие. Доезжаю до серверной, жму кнопочку на KVM, вижу работающий TS. Логинюсь на него и на рабочем столе вижу файл Your_files_have_been_encrypted.html Я. Понял. Сразу. Все. Достаю телефон, звоню генеральному и спокойно говорю: «Нас взломали». Все, точка невозврата. Начинается приключение.

https://habr.com/ru/articles/1013954/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1013954

#raas #взломы