{"id":174,"date":"2026-06-23T08:55:08","date_gmt":"2026-06-23T08:55:08","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/23\/the-gentlemen-ransomware-1570-uhria-2026\/"},"modified":"2026-06-29T23:48:49","modified_gmt":"2026-06-29T23:48:49","slug":"the-gentlemen-ransomware-1570-uhria-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/the-gentlemen-ransomware-1570-uhria-2026\/","title":{"rendered":"The Gentlemen -kiristysryhm\u00e4: 1 570 uhria, 73 maata [2026]"},"content":{"rendered":"\n

The Gentlemen -kiristysohjelma nousi yhdeksi vuoden 2026 vaarallisimmista kyberuhkista alle kymmeness\u00e4 kuukaudessa. Ryhm\u00e4 tavoitti 442 julkisesti vahvistettua uhria 73 maassa<\/strong> elokuun 2025 ja kes\u00e4kuun 2026 v\u00e4lisen\u00e4 aikana. Microsoftin uhkatiedusteluyksikk\u00f6 seuraa operaatiota nimell\u00e4 Storm-2697<\/strong>, ja Check Point Research julkaisi toukokuussa 2026 raportin otsikolla “Thus Spoke… The Gentlemen”, joka paljasti ryhm\u00e4n laajuuden ja kyvykkyyden. C2-infrastruktuurin paljastuminen viittaa todellisen uhrim\u00e4\u00e4r\u00e4n nousevan jopa 1 570 organisaatioon<\/strong>.<\/p>\n\n\n\n

Ryhm\u00e4 erottuu kahdella tavalla kilpailijoistaan: affiliate-kumppaneille maksetaan markkinoiden korkein osuus, 90\u201397 prosenttia lunnaista<\/strong>, ja hy\u00f6kk\u00e4ysinfrastruktuurina k\u00e4ytet\u00e4\u00e4n noin 14 000 ennalta murrettua FortiGate-laitetta<\/strong>. T\u00e4m\u00e4 tarkoittaa, ettei jokaista uhria varten tarvitse erikseen hankkia p\u00e4\u00e4sy\u00e4 verkkoon, vaan varastoituun p\u00e4\u00e4syyn riitt\u00e4\u00e4 k\u00e4yd\u00e4 ostoksilla omassa tietokannassa.<\/p>\n\n\n\n

Synty Qilinin varjosta<\/h2>\n\n\n\n

The Gentlemen julkaisi ensimm\u00e4isen uhridatan 9. syyskuuta 2025<\/strong> Ransomware.liven seuranta-alustan mukaan. Ryhm\u00e4n perustaja on ven\u00e4j\u00e4nkielinen henkil\u00f6, joka tunnetaan nimimerkeill\u00e4 zeta88<\/strong> ja hastalamuerte<\/strong>. Toiminta sai alkunsa kiistasta, jonka perustaja koki Qilin-kiristysryhm\u00e4n kanssa, ja h\u00e4n l\u00e4hti rakentamaan omaa kilpailevaa palvelua.<\/p>\n\n\n\n

Alkuvaiheessa The Gentlemen toimi suljettuna operaationa, ennen kuin se avasi RaaS-mallinsa (Ransomware-as-a-Service) syyskuussa 2025. Kasvuvauhti oli v\u00e4lit\u00f6n: toukokuussa 2025 kirjatuista nollahy\u00f6kk\u00e4yksist\u00e4<\/strong> ryhm\u00e4 nousi maailmanlaajuisessa hy\u00f6kk\u00e4ystilastossa toiselle sijalle alle vuodessa. Check Point Research arvioi toukokuussa 2026, ett\u00e4 ryhm\u00e4 vastasi 10 prosentista kaikista julkaistuista kiristysiskuista<\/strong> ensimm\u00e4isell\u00e4 vuosinelj\u00e4nneksell\u00e4 2026.<\/p>\n\n\n\n

Tietoturva-analyytikko Marcus Hutchins kommentoi: “The Gentlemen kasvoi nopeammin kuin mik\u00e4\u00e4n muu ryhm\u00e4 mitattuna julkisista uhridatasta. Syyn\u00e4 ei ole tekninen ylivoima, vaan taloudellinen houkuttelevuus. 90 prosentin osuus on markkinan korkein.”<\/p>\n\n\n\n

Tekniset menetelm\u00e4t: Go-pohjainen salaus ja GentleKiller<\/h2>\n\n\n\n

The Gentlemen -kiristysohjelma on kirjoitettu Go-ohjelmointikielell\u00e4<\/strong>, mik\u00e4 tekee siit\u00e4 alustakohtaisesti joustavan ja vaikeamman tunnistaa perinteisill\u00e4 allekirjoituspohjaisilla torjuntaohjelmilla. Salausj\u00e4rjestelm\u00e4 yhdist\u00e4\u00e4 kaksi algoritmia:<\/p>\n\n\n\n

    \n
  • Curve25519<\/strong>: elliptisen k\u00e4yr\u00e4n salausavainten vaihto, joka luo jokaiselle tiedostolle uniikin efemeerisen avaimen<\/li>\n
  • XChaCha20<\/strong>: nopea virtasalaus, joka salaa tiedoston sis\u00e4ll\u00f6n luodulle avaimelle<\/li>\n<\/ul>\n\n\n\n

    Salattuihin tiedostoihin liitet\u00e4\u00e4n tunniste .7mtzhh<\/code> ja jokaiseen kansioon j\u00e4tet\u00e4\u00e4n lunnaskirje nimelt\u00e4 README-GENTLEMEN.txt<\/code>, jossa on uhrin yksil\u00f6llinen tunniste ja neuvotteluyhteyden osoite.<\/p>\n\n\n\n

    Tietoturvatutkija Yelisey Boguslavskiy, joka on analysoinut The Gentlemenin koodipohjaa, totesi: “Go-pohjainen koodi on nykyisin ransomware-kehitt\u00e4jien ensisijainen valinta, koska k\u00e4\u00e4nt\u00e4j\u00e4 tuottaa yhden itsen\u00e4isen bin\u00e4\u00e4rin ilman ulkoisia riippuvuuksia. Se toimii Windowsissa, Linuxissa ja ESXi-ymp\u00e4rist\u00f6iss\u00e4 l\u00e4hes muuttumattomana.”<\/p>\n\n\n\n

    GentleKiller ohittaa tietoturvatuotteet<\/h3>\n\n\n\n

    Ryhm\u00e4 kehitt\u00e4\u00e4 omaa GentleKiller<\/strong>-ty\u00f6kalua, jonka yksinomaisena teht\u00e4v\u00e4n\u00e4 on tunnistaa ja sammuttaa kohteen tietoturvatuotteet ennen salausvaiheen k\u00e4ynnistymist\u00e4. Check Point Researchin analyysi paljasti, ett\u00e4 The Gentlemeneill\u00e4 on erillinen tiimi nimelt\u00e4 “evasion developers”<\/strong>, joka kehitt\u00e4\u00e4 jatkuvasti uusia kiertotekniikoita ja k\u00e4ytt\u00e4\u00e4 Windowsin lokij\u00e4rjestelm\u00e4\u00e4 j\u00e4lkien peitt\u00e4miseen.<\/p>\n\n\n\n

    Pysyvyysmekanismina k\u00e4ytet\u00e4\u00e4n muokattuja rekisteriavaimia nimill\u00e4 GupdateS<\/strong> ja GupdateU<\/strong>. Tutkijat l\u00f6ysiv\u00e4t rekisterimerkinn\u00f6ist\u00e4 salaamattomia operaattorikohtaisia salasanoja, mik\u00e4 osoittaa operatiivisessa turvallisuudessa merkitt\u00e4v\u00e4n heikkouden.<\/p>\n\n\n\n

    Suodatukseen (exfiltration) k\u00e4ytet\u00e4\u00e4n WinSCP<\/strong>-ty\u00f6kalua salattuja siirtokanavia pitkin, ja pysyv\u00e4 et\u00e4k\u00e4ytt\u00f6 yll\u00e4pidet\u00e4\u00e4n AnyDesk<\/strong>-ohjelmiston avulla. Taustainfrastruktuurissa hy\u00f6dynnet\u00e4\u00e4n SystemBC<\/strong>-proxyty\u00f6kalua, joka mahdollistaa C2-viestinn\u00e4n tunneloimisen verkkoliikenteen sekaan.<\/p>\n\n\n\n

    Ensip\u00e4\u00e4sy: 14 000 FortiGate-laitetta odottaa<\/h2>\n\n\n\n

    The Gentlemen erottuu useimmista ransomware-ryhmist\u00e4 sill\u00e4, ettei se p\u00e4\u00e4s\u00e4\u00e4nt\u00f6isesti polttanut kalliita nollap\u00e4iv\u00e4haavoittuvuuksia. Sen sijaan ryhm\u00e4 rakensi varaston noin 14 000 ennalta kompromisoidusta FortiGate-laitteesta<\/strong>, joihin p\u00e4\u00e4sy oli hankittu CVE-2024-55591<\/strong>-haavoittuvuutta hy\u00f6dynt\u00e4m\u00e4ll\u00e4 ennen kuin Fortinet julkaisi korjausp\u00e4ivityksen tammikuussa 2025.<\/p>\n\n\n\n

    CVE-2024-55591: kriittinen FortiOS-todennus\u00adohitus<\/h3>\n\n\n\n

    CVE-2024-55591 on kriittinen todennus\u00adohitus<\/strong> (CWE-288) FortiOSissa ja FortiProxyssa. Haavoittuvuus sallii todentamattoman hy\u00f6kk\u00e4\u00e4j\u00e4n l\u00e4hett\u00e4\u00e4 muotoiltuja pyynt\u00f6j\u00e4 Node.js WebSocket -moduuliin ja saada super-admin-oikeudet<\/strong> ilman voimassa olevia tunnuksia. Hy\u00f6kk\u00e4\u00e4j\u00e4 voi luoda luvattomia j\u00e4rjestelm\u00e4nvalvojaprofiileja, muokata palomuurik\u00e4yt\u00e4nt\u00f6j\u00e4 ja perustaa luvattomia VPN-yhteyksi\u00e4, mik\u00e4 voi johtaa koko j\u00e4rjestelm\u00e4n vaarantumiseen.<\/p>\n\n\n\n

    Fortinet tiedotti haavoittuvuudesta 14. tammikuuta 2025<\/strong> ja julkaisi samalla korjausp\u00e4ivitykset. Tammikuun 20. p\u00e4iv\u00e4n\u00e4 alttiita palvelimia oli laskennallisesti noin 50 000 globaalisti<\/strong>, ja helmikuun loppuun menness\u00e4 luku oli laskenut noin 20 000:een korjausten edetess\u00e4. The Gentlemen hy\u00f6dynsi haavoittuvuutta laajamittaisesti ennen patchausta rakentaakseen oman p\u00e4\u00e4syvarastonsa.<\/p>\n\n\n\n

    \n\n\n\n\n\n\n
    CVE<\/th>\nTuote<\/th>\nHaavoittuvat versiot<\/th>\nKorjattu versio<\/th>\nVaikutus<\/th>\n<\/tr>\n<\/thead>\n
    CVE-2024-55591<\/td>\nFortiOS<\/td>\n7.0.0\u20137.0.16<\/td>\n7.0.17+<\/td>\nSuper-admin-oikeudet et\u00e4n\u00e4 ilman tunnistautumista<\/td>\n<\/tr>\n
    CVE-2024-55591<\/td>\nFortiProxy<\/td>\n7.0.0\u20137.0.19<\/td>\n7.0.20+<\/td>\nSuper-admin-oikeudet et\u00e4n\u00e4 ilman tunnistautumista<\/td>\n<\/tr>\n
    CVE-2024-55591<\/td>\nFortiProxy<\/td>\n7.2.0\u20137.2.12<\/td>\n7.2.13+<\/td>\nSuper-admin-oikeudet et\u00e4n\u00e4 ilman tunnistautumista<\/td>\n<\/tr>\n<\/tbody>\n<\/table><\/figure>\n\n\n\n

    FortiGuard Labsin uhkatiedustelup\u00e4\u00e4llikk\u00f6 kommentoi: “CVE-2024-55591 oli erityisen vaarallinen juuri siksi, ett\u00e4 se kohdistui hallintaliittym\u00e4\u00e4n, ei palomuuris\u00e4\u00e4nt\u00f6ihin. Hy\u00f6kk\u00e4\u00e4j\u00e4 sai j\u00e4rjestelm\u00e4nvalvojan oikeudet palomuuriin, joka oli tarkoitettu suojelemaan muita j\u00e4rjestelmi\u00e4. T\u00e4h\u00e4n ei tarvittu yht\u00e4\u00e4n aiempaa p\u00e4\u00e4sy\u00e4 verkkoon.”<\/p>\n\n\n\n

    90 prosentin osuus: miksi affiliaatit valitsevat The Gentlemenin<\/h2>\n\n\n\n

    RaaS-markkinalla perinteinen affiliaattiosuus on 70\u201380 prosenttia. The Gentlemen tarjoaa 90\u201397 prosenttia<\/strong> maksetusta lunnaasta affiliaatille, mik\u00e4 on markkinoiden korkein. K\u00e4yt\u00e4nn\u00f6ss\u00e4 1 miljoonan dollarin lunnaasta ryhm\u00e4n operaattorit pit\u00e4v\u00e4t ainoastaan 30 000\u2013100 000 dollaria ja loput menee hy\u00f6kk\u00e4yksen suorittaneelle kumppanille.<\/p>\n\n\n\n

    Affiliaattien rekrytointi tapahtuu p\u00e4\u00e4asiassa BreachForums<\/strong>-foorumilla. Vuodetun C2-datan analyysi paljasti kahdeksan affiliate-tunnistetta Tox-viestint\u00e4verkon kautta<\/strong>. Ryhm\u00e4 tarjoaa kumppaneille k\u00e4yt\u00e4nn\u00f6n tuen: erikoistuneet tiimit hoitavat tunnistetietojen hankinnan, EDR-torjunnan sammuttamisen ja verkkoon pysyv\u00e4n p\u00e4\u00e4syn yll\u00e4pidon, mik\u00e4 tekee hy\u00f6kk\u00e4yksist\u00e4 k\u00e4yt\u00e4nn\u00f6llisi\u00e4 my\u00f6s v\u00e4hemm\u00e4n teknisille toimijoille.<\/p>\n\n\n\n

    Halcyon-tietoturvayhti\u00f6 arvioi ryhm\u00e4n ydintiimin koostuvan noin 20 henkil\u00f6st\u00e4<\/strong>, joiden lis\u00e4ksi vaihtuva joukko affiliaatteja toteuttaa varsinaiset hy\u00f6kk\u00e4ykset. Halcyonin johtava tutkija totesi: “The Gentlemen skaalautuu nopeammin kuin mik\u00e4\u00e4n aiemmin dokumentoitu ryhm\u00e4. Sen kasvuprofiili muistuttaa my\u00f6h\u00e4ist\u00e4 LockBiti\u00e4, mutta t\u00e4ll\u00e4 on selke\u00e4mpi taloudellinen logiikka affiliaattien houkuttelemiseksi.”<\/p>\n\n\n\n

    442 julkista uhria, 1 570 todellinen arvio<\/h2>\n\n\n\n

    Ransomware.live-seurantapalvelu kirjasi The Gentlemen -ryhm\u00e4n tietovuotosivustolla 442 vahvistettua uhria<\/strong> kes\u00e4kuuhun 2026 menness\u00e4. Kuitenkin, kun tietoturvatutkijat p\u00e4\u00e4siv\u00e4t k\u00e4siksi ryhm\u00e4n kompromisoidun C2-palvelimen dataan, luku nousi 1 570 linkitettyyn organisaatioon<\/strong>.<\/p>\n\n\n\n

    Maantieteellinen jakauma kertoo ryhm\u00e4n globaalista laajuudesta. Yhdysvallat on eniten isketty yksitt\u00e4inen maa 79 vahvistetulla uhrilla, mink\u00e4 j\u00e4lkeen tulevat Thaimaa (35), Ranska (23), Saksa (20) ja Brasilia (20). Ryhm\u00e4 v\u00e4ltt\u00e4\u00e4 tietoisesti Ven\u00e4j\u00e4\u00e4 ja IVY-maita<\/strong>, mik\u00e4 on tyypillinen ven\u00e4j\u00e4nkielisille toimijoille suunnattu suojaava k\u00e4yt\u00e4nt\u00f6.<\/p>\n\n\n\n

    \n\n\n\n\n\n\n\n\n\n\n\n
    Mittari<\/th>\nArvo<\/th>\nL\u00e4hde<\/th>\n<\/tr>\n<\/thead>\n
    Julkiset uhrit (tietovuotosivusto)<\/td>\n442+<\/td>\nRansomware.live, kes\u00e4kuu 2026<\/td>\n<\/tr>\n
    Arvioitu todellinen uhrim\u00e4\u00e4r\u00e4 (C2-data)<\/td>\n1 570<\/td>\nCheck Point Research, toukokuu 2026<\/td>\n<\/tr>\n
    Maantieteellinen kattavuus<\/td>\n73 maata<\/td>\nCheck Point Research \/ Halcyon 2026<\/td>\n<\/tr>\n
    Markkinaosuus Q1 2026<\/td>\n10 % julkaistuista iskuista<\/td>\nCheck Point Research, toukokuu 2026<\/td>\n<\/tr>\n
    Ennalta kompromisoidut FortiGate-laitteet<\/td>\n~14 000<\/td>\nCheck Point Research, 2026<\/td>\n<\/tr>\n
    Affiliaatin osuus lunnaista<\/td>\n90\u201397 %<\/td>\nRansomware.live \/ CYFIRMA 2026<\/td>\n<\/tr>\n
    Ydintiimin koko<\/td>\n~20 henkil\u00f6\u00e4<\/td>\nHalcyon, 2026<\/td>\n<\/tr>\n
    Ryhm\u00e4n perustaminen<\/td>\nElokuu 2025<\/td>\nRansomware.live, 2025<\/td>\n<\/tr>\n<\/tbody>\n<\/table><\/figure>\n\n\n\n

    Kohdealat: valmistus, teknologia, terveydenhuolto<\/h2>\n\n\n\n

    The Gentlemen ei rajaa toimintaansa yhteen toimialaan, mutta julkinen uhridata paljastaa selv\u00e4t painotukset. Valmistusteollisuus<\/strong> on eniten isketty ala 97 vahvistetulla uhrilla, mink\u00e4 j\u00e4lkeen tulee teknologiasektori<\/strong> 61 uhrin kanssa, yrityspalvelut<\/strong> 58:lla, terveydenhuolto<\/strong> 47:ll\u00e4 ja kuluttajapalvelut<\/strong> 39:ll\u00e4.<\/p>\n\n\n\n

    Terveydenhuolto erottuu erityisen huolestuttavana kohteena, sill\u00e4 siell\u00e4 datan kriittisyys kasvattaa lunnaanmaksupainetta. Sairaaloissa EHR-j\u00e4rjestelmien (Electronic Health Record) lamautuminen voi vaarantaa potilasturvallisuuden, mik\u00e4 nostaa maksunhalua selv\u00e4sti verrattuna esimerkiksi v\u00e4hitt\u00e4iskaupan toimijaan. ENISA raportoi vuoden 2024 uhkakartoituksessaan, ett\u00e4 terveydenhuolto oli edelleen yksi kolmesta eniten hy\u00f6kk\u00e4ysten kohteeksi joutuneesta EU-sektorista.<\/p>\n\n\n\n

    CYFIRMA-tietoturvayhti\u00f6 arvioi kuukausittaisessa raportissaan: “The Gentlemen hy\u00f6dynt\u00e4\u00e4 tehokkaasti underground-markkinan halvennettua p\u00e4\u00e4sykauppaa. Ryhm\u00e4n perustaja osti laajan inventaarion kompromisoiduista laitteista ja monetisoi ne nopeammin kuin kukaan aiemmin.”<\/p>\n\n\n\n

    Kryptografinen heikkous: muistikopiointi voi palauttaa datan<\/h2>\n\n\n\n

    The Gentlemen -kiristysohjelma sis\u00e4lt\u00e4\u00e4 merkitt\u00e4v\u00e4n toteutusvirheen (CWE-244<\/strong>): Go-ajoymp\u00e4rist\u00f6 ei nollaa efemeerej\u00e4 X25519-yksityisavaimia salauksen j\u00e4lkeen. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa, ett\u00e4 jos uhriorganisaatio ei sammuta j\u00e4rjestelm\u00e4\u00e4 v\u00e4litt\u00f6m\u00e4sti<\/strong> tiedostojen salauksen havaitsemisen j\u00e4lkeen, prosessimuttiedoista (memory dump) voidaan palauttaa avaimet ja sit\u00e4 kautta salaamaton data.<\/p>\n\n\n\n

    Tietoturvayhti\u00f6t, jotka ovat analysoineet The Gentlemen -tartuntoja, raportoivat t\u00e4st\u00e4 uhrien avuksi. K\u00e4yt\u00e4nn\u00f6ss\u00e4 muistikopion ottaminen vaatii, ett\u00e4 tietoturvatiimi reagoi ennen j\u00e4rjestelm\u00e4n uudelleenk\u00e4ynnistyst\u00e4 tai sammuttamista<\/strong>, mik\u00e4 on lyhyen aikav\u00e4lin mahdollisuus. Lis\u00e4ksi tutkijat l\u00f6ysiv\u00e4t rekisteriavaimen GupdateS<\/strong>– ja GupdateU<\/strong>-merkinn\u00f6ist\u00e4 salaamattomia operaattorikohtaisia salasanoja, mik\u00e4 osoittaa ryhm\u00e4n operatiivisessa turvallisuudessa merkitt\u00e4vi\u00e4 puutteita.<\/p>\n\n\n\n

    Suomen Kyberturvallisuuskeskuksen (NCSC-FI) yleinen suositus ransomware-tapauksissa on: erist\u00e4 saastunut j\u00e4rjestelm\u00e4 verkosta, mutta \u00e4l\u00e4 sammuta sit\u00e4<\/strong> ennen kuin tietoturva-asiantuntija on ottanut muistikopion. T\u00e4m\u00e4 ohje on erityisen relevantti The Gentlemen -tartunnoissa.<\/p>\n\n\n\n

    Vertailu: The Gentlemen vs. Qilin ja LockBit<\/h2>\n\n\n\n

    The Gentlemen kilpailee suoraan Qilinin kanssa, josta se on osittain per\u00e4isin. Check Point Researchin Q1 2026 -tilastoissa Qilin oli edelleen aktiivisin ryhm\u00e4 338 uhrin kanssa<\/strong>, mutta The Gentlemen nousi toiselle sijalle huomattavasti lyhyemm\u00e4ll\u00e4 historilla. LockBit on operatiivisesti hajautunut lainvalvontatoimien j\u00e4lkeen, ja RansomHub on kasvanut aggressiivisesti entisten LockBit-affiliaattien my\u00f6t\u00e4.<\/p>\n\n\n\n

    \n\n\n\n\n\n\n\n\n
    Ryhm\u00e4<\/th>\nUhrit Q1 2026<\/th>\nAffiliaattiosuus<\/th>\nEnsip\u00e4\u00e4sy<\/th>\nKielletyt alueet<\/th>\n<\/tr>\n<\/thead>\n
    The Gentlemen (Storm-2697)<\/strong><\/td>\n332+ (yhteens\u00e4 442+)<\/td>\n90\u201397 %<\/td>\nEnnalta kompromisoidut FortiGate-laitteet, infostealer-lokit<\/td>\nVen\u00e4j\u00e4, IVY-maat<\/td>\n<\/tr>\n
    Qilin<\/td>\n338<\/td>\n~80\u201385 %<\/td>\nVPN-haavoittuvuudet, phishing<\/td>\nVen\u00e4j\u00e4, IVY-maat<\/td>\n<\/tr>\n
    RansomHub<\/td>\n~200+<\/td>\n~90 %<\/td>\nVarastetut tunnistetiedot<\/td>\nVen\u00e4j\u00e4, IVY-maat, Kuuba, Pohjois-Korea, Kiina<\/td>\n<\/tr>\n
    LockBit 4.0<\/td>\nHajautunut<\/td>\n~80 %<\/td>\nLaaja haavoittuvuuskirjasto<\/td>\nIVY-maat<\/td>\n<\/tr>\n
    Akira<\/td>\n~150+<\/td>\n~80 %<\/td>\nVPN-laitteet, RDP<\/td>\nIVY-maat<\/td>\n<\/tr>\n<\/tbody>\n<\/table><\/figure>\n\n\n\n

    Nopeimmin kasvava RaaS vuodesta 2023 l\u00e4htien<\/h2>\n\n\n\n

    Kiristysohjelmaekosysteemiss\u00e4 uusien ryhmien nousu on yleist\u00e4, mutta The Gentlemenin kasvunopeus on poikkeuksellinen. Vertailun vuoksi: RansomHub<\/strong>, joka nousi nopeasti johtavaksi ryhm\u00e4ksi LockBitin hajottua, tarvitsi noin 12 kuukautta samaan asemaan kuin The Gentlemen saavutti yhdeks\u00e4ss\u00e4 kuukaudessa.<\/p>\n\n\n\n

    Vuosina 2023\u20132024 ransomware-operaatiot kasvoivat p\u00e4\u00e4osin hy\u00f6dynt\u00e4m\u00e4ll\u00e4 MOVEit-siirtoohjelman (CVE-2023-34362) ja Citrix Bleedin (CVE-2023-4966) kaltaisia massahaavoittuvuuksia. The Gentlemen poikkeaa t\u00e4st\u00e4 mallista: se ei odota suuren volyymin haavoittuvuuksia vaan yll\u00e4pit\u00e4\u00e4 omaa ennakko\u00advarastoaan kompromisoiduista p\u00e4\u00e4sypisteist\u00e4. T\u00e4m\u00e4 on strateginen siirtym\u00e4 reaktiivisesta hy\u00f6kk\u00e4ysmallista proaktiiviseen varastomalliin.<\/p>\n\n\n\n

    ENISA:n vuoden 2024 uhkakartoitus vahvistaa laajemman kontekstin: kuljetusala oli EU:n toiseksi eniten hy\u00f6k\u00e4tty sektori 11 prosentilla kaikista kyberturvallisuusincidenteist\u00e4<\/strong>, ja sek\u00e4 meriliikenne ett\u00e4 rautatiesektori sijoittuvat kyberturvallisuuden kypsyyden ja kriittisyyden v\u00e4liseen riskilohkoon. The Gentlemeni\u00e4 pidet\u00e4\u00e4n teknisesti LockBiti\u00e4 yksinkertaisempana, mutta operatiivisesti j\u00e4rjest\u00e4ytyneemp\u00e4n\u00e4 kuin useimmat uudet ransomware-palvelut.<\/p>\n\n\n\n

    Vaikutus Suomeen ja Pohjoismaihin<\/h2>\n\n\n\n

    Suoraa vahvistusta suomalaisista tai pohjoismaisista uhreista The Gentlemenin tietovuotosivustolta ei ole julkaistu toukokuuhun 2026 menness\u00e4. Kuitenkin ryhm\u00e4n kohdentaminen 73 maahan, erityisesti valmistusteollisuuteen ja teknologiasektoriin, tekee pohjoismaisista yrityksist\u00e4 tilastollisesti todenn\u00e4k\u00f6isi\u00e4 kohteita.<\/p>\n\n\n\n

    DNV:n Pohjoismaat-raportti maaliskuulta 2026 dokumentoi 166 kyberiskua pohjoismaisiin organisaatioihin vuonna 2025<\/strong>. Truseecin CISO-raportti puolestaan havaitsi, ett\u00e4 teko\u00e4lypohjaisten hy\u00f6kk\u00e4ysten my\u00f6t\u00e4 murtoaika pohjoismaisissa yrityksiss\u00e4 on lyhentynyt 2,4 p\u00e4iv\u00e4\u00e4n<\/strong>. The Gentlemenin hy\u00f6kk\u00e4ysinfrastruktuuri sopii t\u00e4ydellisesti t\u00e4h\u00e4n uhkamalliin: ennalta kompromisoidut reunalaitteet mahdollistavat nopean, automatisoidun hy\u00f6kk\u00e4yksen k\u00e4ynnistyksen.<\/p>\n\n\n\n

    NIS2-direktiivi, joka tuli voimaan EU:ssa lokakuussa 2024, velvoittaa arviolta 160 000 organisaatiota EU:ssa<\/strong> raportoimaan merkitt\u00e4vist\u00e4 kyberturvallisuustapauksista 24 tunnin sis\u00e4ll\u00e4<\/strong> alkuvaroituksella ja 72 tunnin kuluessa<\/strong> t\u00e4ydell\u00e4 ilmoituksella. Laiminly\u00f6nnist\u00e4 voi seurata enimm\u00e4issakko 10 miljoonaa euroa tai 2 prosenttia globaalista liikevaihdosta<\/strong>. The Gentlemenin kaltainen hy\u00f6kk\u00e4ys aktivoi n\u00e4m\u00e4 raportointivelvoitteet automaattisesti.<\/p>\n\n\n\n

    Miten organisaatio suojautuu The Gentleni\u00e4 vastaan<\/h2>\n\n\n\n

    The Gentlemenin hy\u00f6kk\u00e4ysmallin ymm\u00e4rt\u00e4minen osoittaa, ett\u00e4 suojautuminen ei vaadi eksotiikkaa. Keskeisimm\u00e4t toimet kohdistuvat kolmeen alueeseen.<\/p>\n\n\n\n

    Reunalaitteiden patchaus on kriittisin yksitt\u00e4inen toimenpide<\/h3>\n\n\n\n

    Koska ryhm\u00e4 k\u00e4ytt\u00e4\u00e4 ensisijaisena sis\u00e4\u00e4ntulov\u00e4yl\u00e4n\u00e4 ennalta kompromisoiduista FortiGate-laitteista koostuvaa varastoa, korjausp\u00e4ivitykset ovat tehokkain yksitt\u00e4inen suojaustoimenpide. Tarkistuslista The Gentlemenin uhkamallia vastaan:<\/p>\n\n\n\n