TheGentlemen : le ransomware qui a frappé 240 fois en 2026
Le ransomware ia TheGentlemen a frappé 240 fois en 2026, illustrant l'escalade alarmante des cyberattaques sur les entreprises mondiales.
The Gentlemen est devenu l'une des menaces les plus redoutables dans le domaine des cyberattaques en 2026. Ce groupe de ransomware-as-a-service a lancé une offensive d'une ampleur inédite contre des entreprises à l'échelle mondiale, témoignant d'une professionnalisation inquiétante du cybercrime organisé. Depuis son apparition en juillet 2025, il a déjà enregistré plus de 320 victimes confirmées, et le rythme de ses attaques ne cesse d'augmenter.
L'émergence fulgurante de The Gentlemen : un nouveau leader du ransomware
En juillet 2025, The Gentlemen a fait son entrée sur la scène du cybercrime, attirant rapidement l'attention des experts en sécurité grâce à la sophistication de ses opérations. En moins d'un an, le groupe a revendiqué près de 350 victimes, dont plus de 80 rien qu'en février 2026. Ces chiffres témoignent d'une croissance fulgurante qui place The Gentlemen parmi les acteurs les plus actifs dans le domaine des ransomwares.
Ce qui rend ce groupe particulièrement dangereux, c'est son organisation. The Gentlemen fonctionne selon un modèle de franchise criminelle, connu sous le nom de ransomware-as-a-service. Ce modèle repose sur un partenariat lucratif avec des affiliés recrutés sur le Dark Web, à qui le groupe accorde 90 % des bénéfices des attaques. Cette stratégie permet d'industrialiser les cyberattaques en les confiant à un réseau décentralisé de cybercriminels.
Des chercheurs de Check Point ont mis en lumière des données préoccupantes. En scrutant les serveurs de commande et de contrôle liés à SystemBC, ils ont découvert plus de 1 570 victimes potentielles, bien au-delà des attaques déclarées publiquement. Cela laisse entendre que The Gentlemen possède une capacité opérationnelle bien plus vaste que ce que les chiffres officiels laissent présager.
Tactiques et techniques : une chaîne d'attaque maîtrisée
The Gentlemen ne se limite pas à chiffrer les données. Le groupe a mis en place une stratégie de double extorsion redoutable : il chiffre les fichiers des victimes tout en volant des informations sensibles qu'il peut revendre ou publier si la rançon n'est pas payée. Cette approche augmente la pression financière sur les cibles.
Le ransomware, développé en Go, présente des capacités impressionnantes. Il cible les systèmes Windows, Linux et ESXi, offrant une couverture multiplateforme rare dans le paysage des menaces. Il intègre des mécanismes de persistance au démarrage, de redémarrage automatique et un chiffrement configurable, permettant d'adapter l'attaque à chaque cible.
Pour déjouer les défenses antivirus, The Gentlemen utilise une technique astucieuse : le détournement de pilotes officiels comme ThrottleBlood.sys. Ces composants légitimes permettent de désactiver les antivirus au cœur du système, neutralisant ainsi les couches de sécurité essentielles. Le malware exige un mot de passe de huit octets pour s'activer, ce qui complique l'analyse par les outils de sécurité automatisés sans intervention humaine.
La propagation du ransomware s'appuie sur des outils d'administration Windows intégrés tels que WMI, PowerShell remoting et SCHTASKS. Le groupe exploite également les comptes de domaine privilégiés pour déployer le ransomware en profondeur dans les réseaux compromis. Le pipeline de chiffrement repose sur des algorithmes robustes comme XChaCha20 et Curve25519.
Secteurs et géographie : une menace mondiale ciblée
The Gentlemen cible principalement des secteurs jugés sensibles et lucratifs. La fabrication, la construction, la santé et l'assurance figurent parmi ses cibles privilégiées. Ces domaines présentent des infrastructures complexes difficiles à restaurer rapidement et une capacité financière élevée pour payer les rançons.
Sur le plan géographique, le groupe a mené des attaques dans au moins 17 pays. Cette présence mondiale reflète une stratégie délibérée de diversification des risques et d'exploitation des failles de sécurité à une échelle internationale. Les opérateurs gèrent The Gentlemen comme une véritable entreprise cybercriminelle, offrant à leurs affiliés de nombreuses options de personnalisation adaptées à chaque cible.
L'impact financier de ce groupe est colossal. Il a déjà subtilisé près de 2 téraoctets de données confidentielles auprès de grandes entreprises industrielles. Ces données constituent un levier d'extorsion supplémentaire et une source de revenu secondaire grâce à leur revente.
Comment les entreprises peuvent se protéger
Pour faire face à cette menace, il est crucial d'adopter une stratégie défensive multicouche. La première étape consiste à segmenter le réseau. En isolant les systèmes critiques des environnements généraux, vous limitez la propagation en cas de compromission initiale.
Ensuite, il est nécessaire de renforcer la gestion des accès privilégiés. The Gentlemen exploite souvent les comptes de domaine pour progresser dans les réseaux. Mettre en place une gestion stricte des privilèges, utiliser l'authentification multifacteur et surveiller les accès inhabituels sont des mesures essentielles.
La sauvegarde régulière et testée des données critiques est également indispensable. Les sauvegardes doivent être déconnectées du réseau principal pour éviter qu'elles ne soient compromises lors d'une attaque.
La sensibilisation des employés est un autre aspect à ne pas négliger. The Gentlemen utilise fréquemment l'ingénierie sociale et le phishing pour obtenir l'accès initial. Former les équipes à reconnaître ces tentatives de compromission réduit considérablement le risque d'infection.
Enfin, il est essentiel de maintenir une veille active sur les indicateurs de compromission liés à The Gentlemen et aux outils qu'il utilise, notamment SystemBC. Les solutions de détection comportementale et les analyses de menaces en temps réel permettent d'identifier les attaques avant qu'elles n'atteignent leurs objectifs.
FAQ
Quel est le modèle économique de The Gentlemen ?
The Gentlemen fonctionne comme une franchise criminelle. Le groupe principal fournit le malware et l'infrastructure, tandis que des affiliés recrutés exécutent les attaques. En échange, les affiliés conservent 90 % des bénéfices, ce qui favorise le recrutement et l'industrialisation des attaques.
Quels secteurs sont les plus visés par The Gentlemen ?
Les secteurs de la fabrication, de la construction, de la santé et de l'assurance sont les plus ciblés. Ces domaines combinent une infrastructure complexe difficile à restaurer et une forte capacité financière pour négocier les rançons, attirant ainsi le groupe.
Comment The Gentlemen désactive-t-il les antivirus ?
Le groupe détourne des pilotes officiels comme ThrottleBlood.sys pour désactiver les antivirus au niveau du système d'exploitation. Cette technique, souvent qualifiée de « living off the land », utilise des composants légitimes du système pour contourner les mesures de sécurité.
Conclusion
The Gentlemen représente une évolution préoccupante du paysage des menaces cybernétiques. Ce groupe ne se contente pas d'augmenter le volume des attaques, il illustre également la professionnalisation croissante du cybercrime organisé. Avec son modèle RaaS, ses techniques avancées et sa portée mondiale, il constitue un adversaire redoutable pour les entreprises. Pour se protéger efficacement, une approche défensive intégrée est indispensable, combinant segmentation réseau, gestion des accès, sauvegardes régulières et sensibilisation des collaborateurs. Ignorer ces mesures fondamentales expose à des risques financiers et opérationnels majeurs.


