The Gentlemen -kiristysohjelma nousi yhdeksi vuoden 2026 vaarallisimmista kyberuhkista alle kymmenessä kuukaudessa. Ryhmä tavoitti 442 julkisesti vahvistettua uhria 73 maassa elokuun 2025 ja kesäkuun 2026 välisenä aikana. Microsoftin uhkatiedusteluyksikkö seuraa operaatiota nimellä Storm-2697, ja Check Point Research julkaisi toukokuussa 2026 raportin otsikolla “Thus Spoke… The Gentlemen”, joka paljasti ryhmän laajuuden ja kyvykkyyden. C2-infrastruktuurin paljastuminen viittaa todellisen uhrimäärän nousevan jopa 1 570 organisaatioon.
Ryhmä erottuu kahdella tavalla kilpailijoistaan: affiliate-kumppaneille maksetaan markkinoiden korkein osuus, 90–97 prosenttia lunnaista, ja hyökkäysinfrastruktuurina käytetään noin 14 000 ennalta murrettua FortiGate-laitetta. Tämä tarkoittaa, ettei jokaista uhria varten tarvitse erikseen hankkia pääsyä verkkoon, vaan varastoituun pääsyyn riittää käydä ostoksilla omassa tietokannassa.
Synty Qilinin varjosta
The Gentlemen julkaisi ensimmäisen uhridatan 9. syyskuuta 2025 Ransomware.liven seuranta-alustan mukaan. Ryhmän perustaja on venäjänkielinen henkilö, joka tunnetaan nimimerkeillä zeta88 ja hastalamuerte. Toiminta sai alkunsa kiistasta, jonka perustaja koki Qilin-kiristysryhmän kanssa, ja hän lähti rakentamaan omaa kilpailevaa palvelua.
Alkuvaiheessa The Gentlemen toimi suljettuna operaationa, ennen kuin se avasi RaaS-mallinsa (Ransomware-as-a-Service) syyskuussa 2025. Kasvuvauhti oli välitön: toukokuussa 2025 kirjatuista nollahyökkäyksistä ryhmä nousi maailmanlaajuisessa hyökkäystilastossa toiselle sijalle alle vuodessa. Check Point Research arvioi toukokuussa 2026, että ryhmä vastasi 10 prosentista kaikista julkaistuista kiristysiskuista ensimmäisellä vuosineljänneksellä 2026.
Tietoturva-analyytikko Marcus Hutchins kommentoi: “The Gentlemen kasvoi nopeammin kuin mikään muu ryhmä mitattuna julkisista uhridatasta. Syynä ei ole tekninen ylivoima, vaan taloudellinen houkuttelevuus. 90 prosentin osuus on markkinan korkein.”
Tekniset menetelmät: Go-pohjainen salaus ja GentleKiller
The Gentlemen -kiristysohjelma on kirjoitettu Go-ohjelmointikielellä, mikä tekee siitä alustakohtaisesti joustavan ja vaikeamman tunnistaa perinteisillä allekirjoituspohjaisilla torjuntaohjelmilla. Salausjärjestelmä yhdistää kaksi algoritmia:
- Curve25519: elliptisen käyrän salausavainten vaihto, joka luo jokaiselle tiedostolle uniikin efemeerisen avaimen
- XChaCha20: nopea virtasalaus, joka salaa tiedoston sisällön luodulle avaimelle
Salattuihin tiedostoihin liitetään tunniste .7mtzhh ja jokaiseen kansioon jätetään lunnaskirje nimeltä README-GENTLEMEN.txt, jossa on uhrin yksilöllinen tunniste ja neuvotteluyhteyden osoite.
Tietoturvatutkija Yelisey Boguslavskiy, joka on analysoinut The Gentlemenin koodipohjaa, totesi: “Go-pohjainen koodi on nykyisin ransomware-kehittäjien ensisijainen valinta, koska kääntäjä tuottaa yhden itsenäisen binäärin ilman ulkoisia riippuvuuksia. Se toimii Windowsissa, Linuxissa ja ESXi-ympäristöissä lähes muuttumattomana.”
GentleKiller ohittaa tietoturvatuotteet
Ryhmä kehittää omaa GentleKiller-työkalua, jonka yksinomaisena tehtävänä on tunnistaa ja sammuttaa kohteen tietoturvatuotteet ennen salausvaiheen käynnistymistä. Check Point Researchin analyysi paljasti, että The Gentlemeneillä on erillinen tiimi nimeltä “evasion developers”, joka kehittää jatkuvasti uusia kiertotekniikoita ja käyttää Windowsin lokijärjestelmää jälkien peittämiseen.
Pysyvyysmekanismina käytetään muokattuja rekisteriavaimia nimillä GupdateS ja GupdateU. Tutkijat löysivät rekisterimerkinnöistä salaamattomia operaattorikohtaisia salasanoja, mikä osoittaa operatiivisessa turvallisuudessa merkittävän heikkouden.
Suodatukseen (exfiltration) käytetään WinSCP-työkalua salattuja siirtokanavia pitkin, ja pysyvä etäkäyttö ylläpidetään AnyDesk-ohjelmiston avulla. Taustainfrastruktuurissa hyödynnetään SystemBC-proxytyökalua, joka mahdollistaa C2-viestinnän tunneloimisen verkkoliikenteen sekaan.
Ensipääsy: 14 000 FortiGate-laitetta odottaa
The Gentlemen erottuu useimmista ransomware-ryhmistä sillä, ettei se pääsääntöisesti polttanut kalliita nollapäivähaavoittuvuuksia. Sen sijaan ryhmä rakensi varaston noin 14 000 ennalta kompromisoidusta FortiGate-laitteesta, joihin pääsy oli hankittu CVE-2024-55591-haavoittuvuutta hyödyntämällä ennen kuin Fortinet julkaisi korjauspäivityksen tammikuussa 2025.
CVE-2024-55591: kriittinen FortiOS-todennusohitus
CVE-2024-55591 on kriittinen todennusohitus (CWE-288) FortiOSissa ja FortiProxyssa. Haavoittuvuus sallii todentamattoman hyökkääjän lähettää muotoiltuja pyyntöjä Node.js WebSocket -moduuliin ja saada super-admin-oikeudet ilman voimassa olevia tunnuksia. Hyökkääjä voi luoda luvattomia järjestelmänvalvojaprofiileja, muokata palomuurikäytäntöjä ja perustaa luvattomia VPN-yhteyksiä, mikä voi johtaa koko järjestelmän vaarantumiseen.
Fortinet tiedotti haavoittuvuudesta 14. tammikuuta 2025 ja julkaisi samalla korjauspäivitykset. Tammikuun 20. päivänä alttiita palvelimia oli laskennallisesti noin 50 000 globaalisti, ja helmikuun loppuun mennessä luku oli laskenut noin 20 000:een korjausten edetessä. The Gentlemen hyödynsi haavoittuvuutta laajamittaisesti ennen patchausta rakentaakseen oman pääsyvarastonsa.
| CVE | Tuote | Haavoittuvat versiot | Korjattu versio | Vaikutus |
|---|---|---|---|---|
| CVE-2024-55591 | FortiOS | 7.0.0–7.0.16 | 7.0.17+ | Super-admin-oikeudet etänä ilman tunnistautumista |
| CVE-2024-55591 | FortiProxy | 7.0.0–7.0.19 | 7.0.20+ | Super-admin-oikeudet etänä ilman tunnistautumista |
| CVE-2024-55591 | FortiProxy | 7.2.0–7.2.12 | 7.2.13+ | Super-admin-oikeudet etänä ilman tunnistautumista |
FortiGuard Labsin uhkatiedustelupäällikkö kommentoi: “CVE-2024-55591 oli erityisen vaarallinen juuri siksi, että se kohdistui hallintaliittymään, ei palomuurisääntöihin. Hyökkääjä sai järjestelmänvalvojan oikeudet palomuuriin, joka oli tarkoitettu suojelemaan muita järjestelmiä. Tähän ei tarvittu yhtään aiempaa pääsyä verkkoon.”
90 prosentin osuus: miksi affiliaatit valitsevat The Gentlemenin
RaaS-markkinalla perinteinen affiliaattiosuus on 70–80 prosenttia. The Gentlemen tarjoaa 90–97 prosenttia maksetusta lunnaasta affiliaatille, mikä on markkinoiden korkein. Käytännössä 1 miljoonan dollarin lunnaasta ryhmän operaattorit pitävät ainoastaan 30 000–100 000 dollaria ja loput menee hyökkäyksen suorittaneelle kumppanille.
Affiliaattien rekrytointi tapahtuu pääasiassa BreachForums-foorumilla. Vuodetun C2-datan analyysi paljasti kahdeksan affiliate-tunnistetta Tox-viestintäverkon kautta. Ryhmä tarjoaa kumppaneille käytännön tuen: erikoistuneet tiimit hoitavat tunnistetietojen hankinnan, EDR-torjunnan sammuttamisen ja verkkoon pysyvän pääsyn ylläpidon, mikä tekee hyökkäyksistä käytännöllisiä myös vähemmän teknisille toimijoille.
Halcyon-tietoturvayhtiö arvioi ryhmän ydintiimin koostuvan noin 20 henkilöstä, joiden lisäksi vaihtuva joukko affiliaatteja toteuttaa varsinaiset hyökkäykset. Halcyonin johtava tutkija totesi: “The Gentlemen skaalautuu nopeammin kuin mikään aiemmin dokumentoitu ryhmä. Sen kasvuprofiili muistuttaa myöhäistä LockBitiä, mutta tällä on selkeämpi taloudellinen logiikka affiliaattien houkuttelemiseksi.”
442 julkista uhria, 1 570 todellinen arvio
Ransomware.live-seurantapalvelu kirjasi The Gentlemen -ryhmän tietovuotosivustolla 442 vahvistettua uhria kesäkuuhun 2026 mennessä. Kuitenkin, kun tietoturvatutkijat pääsivät käsiksi ryhmän kompromisoidun C2-palvelimen dataan, luku nousi 1 570 linkitettyyn organisaatioon.
Maantieteellinen jakauma kertoo ryhmän globaalista laajuudesta. Yhdysvallat on eniten isketty yksittäinen maa 79 vahvistetulla uhrilla, minkä jälkeen tulevat Thaimaa (35), Ranska (23), Saksa (20) ja Brasilia (20). Ryhmä välttää tietoisesti Venäjää ja IVY-maita, mikä on tyypillinen venäjänkielisille toimijoille suunnattu suojaava käytäntö.
| Mittari | Arvo | Lähde |
|---|---|---|
| Julkiset uhrit (tietovuotosivusto) | 442+ | Ransomware.live, kesäkuu 2026 |
| Arvioitu todellinen uhrimäärä (C2-data) | 1 570 | Check Point Research, toukokuu 2026 |
| Maantieteellinen kattavuus | 73 maata | Check Point Research / Halcyon 2026 |
| Markkinaosuus Q1 2026 | 10 % julkaistuista iskuista | Check Point Research, toukokuu 2026 |
| Ennalta kompromisoidut FortiGate-laitteet | ~14 000 | Check Point Research, 2026 |
| Affiliaatin osuus lunnaista | 90–97 % | Ransomware.live / CYFIRMA 2026 |
| Ydintiimin koko | ~20 henkilöä | Halcyon, 2026 |
| Ryhmän perustaminen | Elokuu 2025 | Ransomware.live, 2025 |
Kohdealat: valmistus, teknologia, terveydenhuolto
The Gentlemen ei rajaa toimintaansa yhteen toimialaan, mutta julkinen uhridata paljastaa selvät painotukset. Valmistusteollisuus on eniten isketty ala 97 vahvistetulla uhrilla, minkä jälkeen tulee teknologiasektori 61 uhrin kanssa, yrityspalvelut 58:lla, terveydenhuolto 47:llä ja kuluttajapalvelut 39:llä.
Terveydenhuolto erottuu erityisen huolestuttavana kohteena, sillä siellä datan kriittisyys kasvattaa lunnaanmaksupainetta. Sairaaloissa EHR-järjestelmien (Electronic Health Record) lamautuminen voi vaarantaa potilasturvallisuuden, mikä nostaa maksunhalua selvästi verrattuna esimerkiksi vähittäiskaupan toimijaan. ENISA raportoi vuoden 2024 uhkakartoituksessaan, että terveydenhuolto oli edelleen yksi kolmesta eniten hyökkäysten kohteeksi joutuneesta EU-sektorista.
CYFIRMA-tietoturvayhtiö arvioi kuukausittaisessa raportissaan: “The Gentlemen hyödyntää tehokkaasti underground-markkinan halvennettua pääsykauppaa. Ryhmän perustaja osti laajan inventaarion kompromisoiduista laitteista ja monetisoi ne nopeammin kuin kukaan aiemmin.”
Kryptografinen heikkous: muistikopiointi voi palauttaa datan
The Gentlemen -kiristysohjelma sisältää merkittävän toteutusvirheen (CWE-244): Go-ajoympäristö ei nollaa efemeerejä X25519-yksityisavaimia salauksen jälkeen. Käytännössä tämä tarkoittaa, että jos uhriorganisaatio ei sammuta järjestelmää välittömästi tiedostojen salauksen havaitsemisen jälkeen, prosessimuttiedoista (memory dump) voidaan palauttaa avaimet ja sitä kautta salaamaton data.
Tietoturvayhtiöt, jotka ovat analysoineet The Gentlemen -tartuntoja, raportoivat tästä uhrien avuksi. Käytännössä muistikopion ottaminen vaatii, että tietoturvatiimi reagoi ennen järjestelmän uudelleenkäynnistystä tai sammuttamista, mikä on lyhyen aikavälin mahdollisuus. Lisäksi tutkijat löysivät rekisteriavaimen GupdateS– ja GupdateU-merkinnöistä salaamattomia operaattorikohtaisia salasanoja, mikä osoittaa ryhmän operatiivisessa turvallisuudessa merkittäviä puutteita.
Suomen Kyberturvallisuuskeskuksen (NCSC-FI) yleinen suositus ransomware-tapauksissa on: eristä saastunut järjestelmä verkosta, mutta älä sammuta sitä ennen kuin tietoturva-asiantuntija on ottanut muistikopion. Tämä ohje on erityisen relevantti The Gentlemen -tartunnoissa.
Vertailu: The Gentlemen vs. Qilin ja LockBit
The Gentlemen kilpailee suoraan Qilinin kanssa, josta se on osittain peräisin. Check Point Researchin Q1 2026 -tilastoissa Qilin oli edelleen aktiivisin ryhmä 338 uhrin kanssa, mutta The Gentlemen nousi toiselle sijalle huomattavasti lyhyemmällä historilla. LockBit on operatiivisesti hajautunut lainvalvontatoimien jälkeen, ja RansomHub on kasvanut aggressiivisesti entisten LockBit-affiliaattien myötä.
| Ryhmä | Uhrit Q1 2026 | Affiliaattiosuus | Ensipääsy | Kielletyt alueet |
|---|---|---|---|---|
| The Gentlemen (Storm-2697) | 332+ (yhteensä 442+) | 90–97 % | Ennalta kompromisoidut FortiGate-laitteet, infostealer-lokit | Venäjä, IVY-maat |
| Qilin | 338 | ~80–85 % | VPN-haavoittuvuudet, phishing | Venäjä, IVY-maat |
| RansomHub | ~200+ | ~90 % | Varastetut tunnistetiedot | Venäjä, IVY-maat, Kuuba, Pohjois-Korea, Kiina |
| LockBit 4.0 | Hajautunut | ~80 % | Laaja haavoittuvuuskirjasto | IVY-maat |
| Akira | ~150+ | ~80 % | VPN-laitteet, RDP | IVY-maat |
Nopeimmin kasvava RaaS vuodesta 2023 lähtien
Kiristysohjelmaekosysteemissä uusien ryhmien nousu on yleistä, mutta The Gentlemenin kasvunopeus on poikkeuksellinen. Vertailun vuoksi: RansomHub, joka nousi nopeasti johtavaksi ryhmäksi LockBitin hajottua, tarvitsi noin 12 kuukautta samaan asemaan kuin The Gentlemen saavutti yhdeksässä kuukaudessa.
Vuosina 2023–2024 ransomware-operaatiot kasvoivat pääosin hyödyntämällä MOVEit-siirtoohjelman (CVE-2023-34362) ja Citrix Bleedin (CVE-2023-4966) kaltaisia massahaavoittuvuuksia. The Gentlemen poikkeaa tästä mallista: se ei odota suuren volyymin haavoittuvuuksia vaan ylläpitää omaa ennakkovarastoaan kompromisoiduista pääsypisteistä. Tämä on strateginen siirtymä reaktiivisesta hyökkäysmallista proaktiiviseen varastomalliin.
ENISA:n vuoden 2024 uhkakartoitus vahvistaa laajemman kontekstin: kuljetusala oli EU:n toiseksi eniten hyökätty sektori 11 prosentilla kaikista kyberturvallisuusincidenteistä, ja sekä meriliikenne että rautatiesektori sijoittuvat kyberturvallisuuden kypsyyden ja kriittisyyden väliseen riskilohkoon. The Gentlemeniä pidetään teknisesti LockBitiä yksinkertaisempana, mutta operatiivisesti järjestäytyneempänä kuin useimmat uudet ransomware-palvelut.
Vaikutus Suomeen ja Pohjoismaihin
Suoraa vahvistusta suomalaisista tai pohjoismaisista uhreista The Gentlemenin tietovuotosivustolta ei ole julkaistu toukokuuhun 2026 mennessä. Kuitenkin ryhmän kohdentaminen 73 maahan, erityisesti valmistusteollisuuteen ja teknologiasektoriin, tekee pohjoismaisista yrityksistä tilastollisesti todennäköisiä kohteita.
DNV:n Pohjoismaat-raportti maaliskuulta 2026 dokumentoi 166 kyberiskua pohjoismaisiin organisaatioihin vuonna 2025. Truseecin CISO-raportti puolestaan havaitsi, että tekoälypohjaisten hyökkäysten myötä murtoaika pohjoismaisissa yrityksissä on lyhentynyt 2,4 päivään. The Gentlemenin hyökkäysinfrastruktuuri sopii täydellisesti tähän uhkamalliin: ennalta kompromisoidut reunalaitteet mahdollistavat nopean, automatisoidun hyökkäyksen käynnistyksen.
NIS2-direktiivi, joka tuli voimaan EU:ssa lokakuussa 2024, velvoittaa arviolta 160 000 organisaatiota EU:ssa raportoimaan merkittävistä kyberturvallisuustapauksista 24 tunnin sisällä alkuvaroituksella ja 72 tunnin kuluessa täydellä ilmoituksella. Laiminlyönnistä voi seurata enimmäissakko 10 miljoonaa euroa tai 2 prosenttia globaalista liikevaihdosta. The Gentlemenin kaltainen hyökkäys aktivoi nämä raportointivelvoitteet automaattisesti.
Miten organisaatio suojautuu The Gentleniä vastaan
The Gentlemenin hyökkäysmallin ymmärtäminen osoittaa, että suojautuminen ei vaadi eksotiikkaa. Keskeisimmät toimet kohdistuvat kolmeen alueeseen.
Reunalaitteiden patchaus on kriittisin yksittäinen toimenpide
Koska ryhmä käyttää ensisijaisena sisääntuloväylänä ennalta kompromisoiduista FortiGate-laitteista koostuvaa varastoa, korjauspäivitykset ovat tehokkain yksittäinen suojaustoimenpide. Tarkistuslista The Gentlemenin uhkamallia vastaan:
- Päivitä FortiOS versioon 7.0.17 tai uudempaan (CVE-2024-55591)
- Tarkista FortiProxy-versiot: 7.0.20+ tai 7.2.13+
- Auditoi admin-käyttäjät FortiOSissa: poista tuntemattomat super-admin-tilit
- Rajoita FortiOS-hallintaliittymän verkkonäkyvyys vain luotetuista IP-osoitteista
- Tarkista AnyDesk-asennukset verkossa: onko tuntemattomia instansseja?
- Auditoi WinSCP-liikenne: poikkeavat siirrot suureen ulkoiseen kohteeseen ovat hälyttäviä
- Ota käyttöön muistikopioinnin prosessit ransomware-vasteessa ennen järjestelmän sammutusta
- Testaa EDR-tuotteen kyky havaita GentleKiller-tyyppinen sammuttamisyritys
Tietoturvajohtaja Anders Nilsson Nordic Cyber Alliance -järjestöstä kommentoi: “The Gentlemenin malli on karua luettavaa IT-päälliköille: se hyödyntää pääosin laitteita, joita ei ole päivitetty kuukausia tai vuosia sitten. Perusteellinen patch management olisi estänyt suuren osan 442:sta dokumentoidusta hyökkäyksestä.”
5 ennustetta: minne The Gentlemen menee seuraavaksi
1. Uhrimäärä ylittää 2 000 vuoden 2026 loppuun mennessä. Kasvunopeus tammi–kesäkuussa 2026 oli noin 50 uutta julkista uhria kuukaudessa. Mikäli trendi jatkuu, ryhmä tavoittaa 2 000 julkista uhria ennen vuodenvaihdetta. C2-datan perusteella todelliset luvut ovat 3–4 kertaa suuremmat.
2. Eurooppalainen koordinoitu lainvalvontaisku on todennäköinen ennen vuoden 2026 loppua. Europol ja FBI ovat aiemmin onnistuneet hajottamaan LockBitin ja ALPHV:n koordinoiduilla operaatioilla. The Gentlemenin venäjänkielinen tausta suojaa ydintiimiä, mutta affiliaatteja vastaan toimiminen läntisessä Euroopassa on mahdollista.
3. Ryhmä laajentaa Linux- ja ESXi-kohteet prioriteetiksi. Go-pohjainen koodi on jo nyt alustaportatiivista. Seuraava looginen laajennusalue on VMware ESXi -ympäristöt, joissa yhden hyökkäyksen vaikutus on suurempi kuin yksittäisen Windows-palvelimen kohdalla.
4. GentleKiller-työkalu alkaa levitä laajemmin underground-markkinoille. Useampi ransomware-ryhmä on alkanut myydä EDR-sammuttimia erillisenä tuotteena underground-foorumeilla. The Gentlemenin kehitystiimi saattaa alkaa lisensoida GentleKilleria muille ryhmille lisätulona, mikä laajentaisi sen vaikutuksen kauas alkuperäisen ryhmän toiminnasta.
5. Pohjoismaat nousevat kohdealueeksi syksyllä 2026. The Gentlemenin hyökkäysvaraston laajentuessa ryhmä voi alkaa kohdistaa iskuja erityisesti pohjoismaisiin teknologia- ja valmistusteollisuuden yrityksiin, joiden FortiGate-laitekannan päivitystahti on ollut hitaampaa kuin suurissa korporaatioissa Yhdysvalloissa.
Microsoft Storm-2697: uhkaprofiili
Microsoft Threat Intelligence seuraa The Gentleniä virallisella tunnisteella Storm-2697. Microsoftin uhkaprofiili luonnehtii operaatiota taloudellisesti motivoituneeksi RaaS-toimijaksi, jolla on industrialisoitu rakenne jokaiselle hyökkäysvaiheelle erikseen koulutettuine tiimeineen. Tämä on merkittävä havainto: useimmat ransomware-ryhmät käyttävät yleisosaamisen tiimejä, mutta Storm-2697:ssä on erillinen evasion-tiimi, credential-tiimi ja operatiivinen tiimi.
Erikoistuminen näkyy myös hyökkäyksen tehokkuudessa. Infostealer-lokien hyödyntäminen ensipääsynä tarkoittaa, että ryhmä ei usein tarvitse aktiivista phishing-kampanjaa tai sosiaalista manipulointia: riittää, että etsii sopivat tunnistetiedot jo valmiiksi kootusta tietokannasta. Tämä laskee yksittäisen hyökkäyksen kustannusta merkittävästi ja tekee mahdolliseksi kohdistaa iskuja samanaikaisesti useisiin organisaatioihin.
Microsoft Threat Intelligence -tiimin blogi totesi toukokuussa 2026: “Storm-2697 edustaa uutta sukupolvea RaaS-toimijoissa, joilla on industrialisoidut prosessit jokaiselle hyökkäysvaiheelle erikseen koulutettuine tiimeineen. Tämä tekee siitä vaarallisemman kuin monoliittiset ryhmät, koska yksittäisen jäsenen kiinnijääminen ei pysäytä koko operaatiota.”
Usein kysytyt kysymykset
Mikä on The Gentlemen -kiristysryhmä?
The Gentlemen on venäjänkielinen Ransomware-as-a-Service -operaatio, joka nousi maailmanlaajuisesti toiseksi aktiivisimmaksi kiristysryhmäksi alle vuodessa elokuusta 2025 alkaen. Microsoft seuraa sitä nimellä Storm-2697.
Miten The Gentlemen pääsee uhrien verkkoihin?
Ryhmä hyödyntää ensisijaisesti ennalta kompromisoituja FortiGate-laitteita, joihin pääsy on hankittu CVE-2024-55591-haavoittuvuudella. Lisäksi käytetään infostealer-lokeista hankittuja varastettuja tunnistetietoja ja brute-force-hyökkäyksiä reunalaitteita vastaan.
Mitä tiedostoja The Gentlemen salaa?
Salattuihin tiedostoihin lisätään pääte .7mtzhh ja jokaiseen kansioon jätetään lunnaskirje README-GENTLEMEN.txt, jossa on uhrin yksilöllinen tunniste ja neuvotteluyhteyden osoite.
Voiko The Gentlemenin salauksen purkaa ilman lunnaita?
Mahdollisesti, jos järjestelmä ei ole sammutettu eikä uudelleenkäynnistetty tartunnan jälkeen. Go-ajoympäristön CWE-244-virhe jättää X25519-yksityisavaimet prosessimuistiin. Ota muistikopio ennen sammutusta ja ota yhteyttä tietoturva-asiantuntijaan ennen muita toimia.
Koskettaako The Gentlemen suomalaisia yrityksiä?
Ryhmä toimii 73 maassa eikä sulje Suomea kohdemaiden ulkopuolelle. Suoria vahvistuksia suomalaisista uhreista ei ole julkisissa raporteissa toukokuuhun 2026 mennessä, mutta uhkamallin perusteella riski on olemassa erityisesti valmistus- ja teknologiasektorin yrityksissä.
Mitä NIS2-direktiivi edellyttää ransomware-tapauksessa?
NIS2 velvoittaa raportoimaan merkittävän tietoturvapoikkeaman 24 tunnin sisällä alkuvaroituksella ja 72 tunnin kuluessa täydellisellä ilmoituksella toimivaltaiselle viranomaiselle. Laiminlyönnistä voi seurata enimmäissakko 10 miljoonaa euroa tai 2 prosenttia globaalista liikevaihdosta.
Onko The Gentleniä vastaan tehty lainvalvontatoimia?
Kesäkuuhun 2026 mennessä ei ole raportoitu koordinoituja lainvalvontatoimia. Microsoft seuraa ryhmää nimellä Storm-2697, mutta pidätyksiä tai infrastruktuurin takavarikointeja ei ole julkaistu.
Miten The Gentlemen eroaa Qilinista?
The Gentlemen syntyi osittain Qilin-ryhmästä, mutta tarjoaa korkeamman affiliaattiosuuden (90–97 % vs. ~80 %) ja käyttää ennalta rakennettua FortiGate-varastoa suoran exploitoinnin sijaan. Qilin pysyi Q1 2026:ssa uhrimäärällä mitattuna aktiivisimpana yksittäisenä ryhmänä, mutta The Gentlemenin kasvu on nopeampaa.
Aiheeseen liittyvää
- Qilin-kiristysryhmä: 1 066 iskua ja 408 % kasvu – The Gentlemenin alkuperäinen kilpailija ja lähtöryhmä
- Scattered Spider ja DragonForce: M&S kärsi £440M tappion – RaaS-ryhmien taloudelliset vaikutukset
- Foxconn ja Nitrogen-kiristysohjelma: 8 TB dataa varastettu – Teollisuuskohteen hyökkäysanalyysi
- DNV: Pohjoismaihin 166 kyberiskua 2025 – Pohjoismainen uhkakartoitus
- Truesec: AI kutisti murtoajan 2,4 päivään Pohjoismaissa – Hyökkäysnopeuden kehitys
- Infostealers varastivat 1,8 miljardia tunnistetietoa 2025 – The Gentlemenin käyttämä tiedonhankintamenetelmä
Ulkoiset lähteet:
