Comment les voleurs de données et l’IA alimentent l’essor du ransomware Gentlemen
Un groupe de ransomware apparu en septembre 2025 est devenu l’une des opérations les plus actives en moins d’un an, recensant 483 victimes dans 66 pays à mi-2026. Gentlemen s’est appuyé massivement sur des identifiants volés récupérés par des voleurs de données classiques, des outils assistés par IA pour l’analyse des données, et un programme d’affiliation agressif offrant jusqu’à 90 % des paiements de rançon aux opérateurs externes. Des logs de discussion internes divulgués en mai 2026 offrent un aperçu exceptionnellement détaillé de ses opérations : une petite équipe centrale gère le ransomware et le tableau de négociation, tandis que les affiliés externes exécutent les intrusions et empochent la majorité des profits.
Une approche différente du ciblage
Contrairement à de nombreux groupes de ransomware, Gentlemen n’a pas concentré ses attaques sur les organisations américaines. Seulement environ 15 % des victimes listées étaient basées aux États-Unis, la majorité étant répartie entre la Thaïlande, le Brésil, le Royaume-Uni, la France, l’Inde, l’Allemagne, l’Italie, le Japon, Taïwan et l’Espagne. Selon le rapport, les opérateurs privilégiaient ce qu’ils appelaient les pays de niveau 1 à 3 et l’Amérique latine, ciblant des cibles où une perturbation opérationnelle mettrait rapidement les entreprises à l’arrêt, même si les gains potentiels étaient moindres. Le secteur manufacturier s’est imposé comme la cible principale, suivi par la technologie, les services aux entreprises et la santé.
Le rôle des voleurs de données et de l’IA
L’accès initial était la priorité du groupe. Les opérateurs scannait les vulnérabilités exposées sur Internet, y compris la faille d’authentification FortiOS CVE-2024-55591, ainsi que des faiblesses anciennes comme ZeroLogon et PetitPotam. En l’absence d’exploits disponibles, ils recouraient à des identifiants valides volés dans des boîtes mail compromis Outlook Web Access, souvent pour retrouver des accès VPN ou envoyer des emails d’hameçonnage depuis des comptes internes de confiance. Le lien avec les voleurs de données était central : des chercheurs ont croisé les listes de victimes avec les logs des voleurs et ont découvert des identifiants d’entreprise actifs ainsi que des jetons de session déjà exposés avant même que les victimes n’apparaissent sur le site de fuite du groupe. Un exemple cité concernait une entreprise philippine de logistique, dont six identifiants d’employés, sept de clients et 38 jetons de session actifs étaient exposés dans les données des voleurs.
Enseignements pour la défense
Les discussions divulguées révèlent comment Gentlemen étudiait de près les opérations de ransomware passées, reprenant les flux de travail de phishing et d’abus de boîtes mail issus des fuites de Black Basta en février 2025. Les tactiques du groupe soulignent une tendance plus large : les cookies de session volés représentent désormais un risque au moins aussi grave que les failles non corrigées. Selon les chercheurs, surveiller l’activité du dark web et les données des voleurs de données doit être traité avec la même urgence que la gestion des correctifs.
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.