CPR深入攻击者服务器，揭露The Gentlemen勒索软件组织快速扩张真相

Check Point Research深入攻击者服务器，揭露The Gentlemen勒索软件组织快速扩张真相

在今年一次企业安全事件的响应过程中，Check Point Research的研究人员获得了一个罕见的机会，进入与The Gentlemen勒索软件组织某附属成员相关联的在线指挥控制服务器。屏幕上呈现的数字令人震惊：超过1,570个疑似企业受害者的记录静静排列，远超该组织在其公开泄露网站上声称的数字。这些组织的系统已被悄然攻陷，数据暂存，等待被进一步处置。

这不是一个新兴威胁组织的试探性动作，而是一个正在高速运转的犯罪机器的内部切面。

一个按商业逻辑运营的犯罪组织

The Gentlemen自2025年中期浮出水面以来，已在其数据泄露网站上公开列出超过320名受害者，仅2026年前几个月就发动了240起攻击，按受害者数量跻身今年最活跃勒索软件组织的第二位。这个成长速度，堪比当年LockBit 3崛起的早期阶段。

理解这一组织何以扩张如此之快，需要先理解勒索软件即服务（RaaS）的运营逻辑：运营者负责构建攻击工具和基础设施，附属成员负责实施攻击并与运营者分享赎金收益。The Gentlemen在这套模式上做了一个关键调整——将附属成员的分成比例从行业普遍的80%提升至90%。

这10个百分点的差距，在一个以财务利益为核心驱动力的犯罪生态中，产生了显著的虹吸效应。经验丰富的攻击者携带着他们积累的企业网络访问渠道、攻击工具和过往战绩，从其他勒索软件项目转投而来。运营者无需自己创造能力，只需提供更好的分成，能力便会自动聚集。

Check Point Research的分析显示，该组织的攻击覆盖Windows、Linux和ESXi环境，能够支撑大规模且持续扩张的附属成员体系。他们的增长，不来自技术上的突破，而来自商业模式上的优势。

制造业：数字化红利背后的安全代价

中国信息通信研究院数据显示，截至2025年12月，全国工业企业开展数字化改造的比例已达89.6%。智能工厂、工业互联网、远程运维的快速普及，在提升制造效率的同时，也大幅扩展了可被攻击的暴露面。

The Gentlemen的攻击目标选择印证了这一现实。制造业和科技行业构成该组织受害者中的最大比例。他们的入口选择逻辑清晰：寻找暴露于互联网且存在漏洞的基础设施，包括VPN、远程访问网关、防火墙管理门户，并将这些设备作为突破口。

而随着数字化制造对第三方远程接入的依赖日益加深，这类暴露面只会持续扩大。更值得警惕的是，医疗卫生行业已成为The Gentlemen的第三大攻击目标。部分勒索软件组织会出于非正式惯例或自保考量刻意回避攻击医院，The Gentlemen没有任何迹象表明他们遵守这一限制。

从进入到全网加密，只需数小时

Check Point Research响应的那次事件，清晰呈现了The Gentlemen附属成员的攻击剧本。

攻击者抵达时，已建立了域级管理员访问权限。随后，入侵以极快的速度推进：对整个环境的凭证验证，向数十台主机的横向移动，逐一禁用安全防护工具，最终通过域组策略触发全网勒索软件部署——所有联网设备同时被加密，几乎没有留给防御者任何干预窗口。

这不是即兴发挥。这是一套经过记录、测试和反复执行的攻击流程，专为在防御者来得及响应之前最大化破坏而设计。附属成员之所以敢于如此快速推进，在于他们执行的是一份成熟的剧本，而非依赖临场判断。

预防为先：在攻击落地之前将其阻断

Check Point Research的分析揭示了一个关键事实：The Gentlemen的初始访问，几乎完全依赖未修补或配置错误的已知漏洞，而非新型零日攻击。这意味着，他们所利用的弱点，本可以在攻击发生之前就被消除。

这正是"预防为先"理念在终端安全场景中的核心含义——不是在攻击触发后快速响应，而是在威胁落地之前将其阻断。

Check Point Endpoint围绕这一逻辑构建了完整的防御能力。在威胁仿真层面，系统能够在文件执行前对可疑内容进行沙箱检测，识别包括勒索软件载荷在内的零日威胁，不依赖已知签名。在终端检测与响应（EDR）层面，系统持续监控设备行为，能够在横向移动阶段发现攻击者的踪迹——此时往往是阻断攻击最有效的时机，早于勒索软件最终引爆。在数据安全层面，系统对终端数据实施保护，防止数据在加密之前被悄然外泄。上述能力依托ThreatCloud AI的实时威胁情报持续更新，确保防护始终面向最新的攻击变体。

此外，多因素认证、网络分段以及可正常运作的隔离备份，依然是面对任何勒索软件攻击时不可替代的基础防御要素。

The Gentlemen及类似勒索组织的崛起，揭示的是一个更深层的结构性现实：建立一个专业勒索软件运营的门槛已大幅降低，具有吸引力的收益分成足以汇聚来自各方的攻击能力。面对这样一个持续进化、快速扩张的威胁，等待攻击发生后再响应，已不再是可持续的防御策略。