The Gentlemen s'impose comme l'une des menaces majeures du paysage des cyberattaques en 2026. Ce groupe de ransomware-as-a-service a mené une offensive sans précédent contre les entreprises mondiales, marquant une escalade inquiétante dans la professionnalisation du cybercrime organisé. Depuis son émergence en juillet 2025, le collectif a consolidé sa position de deuxième groupe de ransomware majeur avec plus de 320 victimes confirmées et une dynamique d'attaques qui s'accélère.
L'émergence fulgurante de The Gentlemen : un nouveau leader du ransomware
Apparu discrètement en juillet 2025, The Gentlemen a rapidement attiré l'attention des chercheurs en sécurité par l'ampleur et la sophistication de ses opérations. Le groupe a revendiqué près de 350 victimes en neuf mois, dont plus de 80 rien qu'en février 2026. Ces chiffres reflètent une croissance exponentielle qui place The Gentlemen parmi les acteurs les plus actifs du secteur du ransomware.
Ce qui distingue ce groupe, c'est sa structure organisationnelle. The Gentlemen fonctionne selon un modèle de franchise criminelle, connu sous le terme de ransomware-as-a-service. Ce modèle économique repose sur un partenariat lucratif avec des affiliés recrutés sur le Dark Web, auxquels le groupe offre 90 % des bénéfices générés par les attaques. Cette générosité apparente cache une stratégie redoutable : industrialiser les attaques en confiant leur exécution à un réseau décentralisé de cybercriminels.
Les chercheurs de Check Point ont révélé des données alarmantes. En analysant les serveurs de commande et contrôle liés à SystemBC, ils ont identifié plus de 1 570 victimes potentielles en puissance, bien au-delà des attaques revendiquées publiquement. Cette asymétrie suggère que The Gentlemen dispose d'une capacité opérationnelle bien supérieure à ce que les statistiques publiques ne le laissent entendre.
Tactiques et techniques : une chaîne d'attaque maîtrisée
The Gentlemen ne se contente pas de chiffrer les données. Le groupe emploie une stratégie de double extorsion redoutable : il chiffre les fichiers des victimes tout en siphonnant des informations sensibles pour les revendre ou les publier en cas de non-paiement. Cette approche maximise la pression financière sur les cibles.
Techniquement, le ransomware écrit en Go déploie des capacités impressionnantes. Le malware cible les environnements Windows, Linux et ESXi, offrant une couverture multiplateforme rare dans le paysage des menaces. Il intègre des mécanismes de persistance au démarrage, de redémarrage automatique et un chiffrement configurable adapté à chaque attaque.
Pour contourner les défenses antivirus, The Gentlemen utilise une technique sophistiquée : le détournement de pilotes officiels comme ThrottleBlood.sys. Ces composants légitimes permettent au groupe de désactiver les antivirus au cœur du système, neutralisant les couches de sécurité les plus critiques. Le malware nécessite un mot de passe de huit octets pour s'activer, un verrouillage qui empêche les outils de sécurité automatisés d'analyser le code sans intervention humaine.
La propagation s'appuie sur des outils d'administration Windows intégrés : WMI, PowerShell remoting et SCHTASKS. Le groupe exploite également les comptes de domaine privilégiés pour déployer le ransomware en profondeur dans les réseaux compromis. Le pipeline de chiffrement repose sur XChaCha20 et Curve25519, deux algorithmes cryptographiques robustes.
Secteurs et géographie : une menace mondiale ciblée
The Gentlemen privilégie les secteurs jugés sensibles et lucratifs. La fabrication, la construction, la santé et l'assurance sont ses cibles préférées. Ces domaines offrent deux avantages majeurs : une infrastructure complexe difficile à restaurer rapidement et une forte capacité financière pour payer les rançons.
Géographiquement, le groupe a mené des attaques dans au moins 17 pays. Cette dispersion mondiale reflète une stratégie délibérée de diversification des risques et d'exploitation de failles de sécurité à l'échelle internationale. Les opérateurs gèrent The Gentlemen comme une véritable entreprise cybercriminelle, fournissant aux affiliés de nombreuses options de réglage et de personnalisation adaptées à chaque cible.
L'impact financier est considérable. Le groupe a déjà dérober près de 2 téraoctets de données confidentielles chez des victimes industrielles majeures. Ces données constituent un levier d'extorsion supplémentaire et une source de revenu secondaire via leur revente.
Comment les entreprises peuvent se protéger
Face à cette menace, les entreprises doivent adopter une stratégie défensive multicouche. Premièrement, la segmentation réseau est essentielle. Isoler les systèmes critiques des environnements généraux limite la propagation latérale en cas de compromission initiale.
Deuxièmement, les entreprises doivent renforcer la gestion des accès privilégiés. The Gentlemen exploite les comptes de domaine pour progresser dans les réseaux. Implémenter une gestion stricte des privilèges, utiliser l'authentification multifacteur et surveiller les accès inhabituels sont des mesures fondamentales.
Troisièmement, la sauvegarde régulière et testée des données critiques offre une couche de protection contre le chiffrement. Les sauvegardes doivent être déconnectées du réseau principal pour éviter leur compromission lors d'une attaque.
Quatrièmement, la sensibilisation des collaborateurs reste cruciale. The Gentlemen s'appuie souvent sur l'ingénierie sociale et le phishing pour obtenir l'accès initial. Former les équipes à reconnaître les tentatives de compromission réduit significativement le risque d'infection.
Enfin, les entreprises doivent maintenir une veille constante sur les indicateurs de compromission liés à The Gentlemen et aux outils qu'il utilise, notamment SystemBC. Les solutions de détection comportementale et les analyses de menaces en temps réel permettent d'identifier les attaques avant qu'elles n'atteignent leurs objectifs.
FAQ
Quel est le modèle économique de The Gentlemen ?
The Gentlemen fonctionne comme une franchise criminelle. Le groupe principal fournit le malware et l'infrastructure, tandis que des affiliés recrutés exécutent les attaques. En échange, les affiliés conservent 90 % des bénéfices, une proportion exceptionnellement généreuse qui accélère le recrutement et l'industrialisation des attaques.
Quels secteurs sont les plus visés par The Gentlemen ?
La fabrication, la construction, la santé et l'assurance sont les secteurs prioritaires. Ces domaines combinent une infrastructure complexe difficile à restaurer et une forte capacité financière pour négocier les rançons, ce qui les rend particulièrement attractifs pour le groupe.
Comment The Gentlemen désactive-t-il les antivirus ?
Le groupe détourne des pilotes officiels comme ThrottleBlood.sys pour désactiver les antivirus au niveau du système d'exploitation. Cette technique, appelée « living off the land », utilise les composants légitimes du système pour contourner les défenses de sécurité.
Conclusion
The Gentlemen illustre l'évolution rapide et troublante du paysage des menaces cybernétiques. Ce groupe ne représente pas seulement une augmentation du volume d'attaques, mais une professionnalisation croissante du cybercrime organisé. Son modèle RaaS, ses techniques sophistiquées et sa portée mondiale en font un adversaire redoutable pour les entreprises. La protection contre cette menace exige une approche défensive intégrée, combinant segmentation réseau, gestion des accès, sauvegarde régulière et sensibilisation des collaborateurs. Les organisations qui négligent ces mesures fondamentales s'exposent à des risques financiers et opérationnels considérables.
Inquiet face aux ransomwares ? 🔐 Start-Informatique vous aide à supprimer les virus et sécuriser vos données à domicile. Appeler le 05 25 33 31 31
