Когда охотник сам становится добычей: крах ransomware-империи из-за утечки

В мире кибербезопасности иногда случается настоящая поэзия. Группа The Gentlemen — вторая по активности среди ransomware-синдикатов — рухнула из-за взлома их хостинг-провайдера. Это произошло в мае 2026 года. Ирония в том, что они сами годами использовали такие же приёмы против жертв.

Обратный удар по цепочке поставок

Ransomware-группы обожают атаковать поставщиков услуг. Взломай хостинг, MSP или софтверного вендора — и получи доступ к сотням клиентов сразу. The Gentlemen знали это как никто другой. Они сами так работали.

Но их провайдер 4VPS пал жертвой хакеров. Утечка вышла эпичной: не просто данные клиентов, а вся база операций. 8200 строк чатов, адреса Bitcoin-кошельков, записи переговоров о выкупах, фото жертв и документы. К 8 мая всё это выложили на даркнет-форумы. Исследователи из Check Point Research разобрали данные по косточкам.

Это не случайность. Это урок о видимости инфраструктуры и цепной реакции уязвимостей.

Что выдала утечка

Анализ показал, как устроен современный RaaS-бизнес. The Gentlemen работали как настоящая компания.

Модель доходов. Девять ключевых операторов координировали сеть аффилиатов. Аффилиатам отчисляли 90% (против стандартных 80%). Для схем с кражей данных без шифрования — аж 97%. Они активно вербовали таланты на чёрном рынке.

Процессы. Чаты в каналах INFO, general, TOOLS и PODBOR раскрыли чёткую структуру. Админ под никами zeta88 и hastalamuerte не только рулил платформой, но и сам участвовал в атаках. Руководитель с руками из нужного места.

Техстек. Для разработчиков это бомба. В переписке упоминали AI-инструменты DeepSeek и Qwen для кодинга атакующего ПО. Не просто ускоряли работу — вооружали ИИ.

Ирония инфраструктуры

The Gentlemen были профи в опсеке, шифровании и маскировке. Но допустили классическую ошибку: доверились хостеру. Когда 4VPS взломали, их крутые инструменты, AI и 300+ жертв ничего не спасли. Всё хранилось на чужих серверах.

Для бизнеса урок ясен: безопасность хостинг-провайдера — твоя безопасность. Проверяй, где данные, как их защищают и что будет при взломе. Это база, а не опция.

Уроки для разработчиков и основателей

Эта история даёт конкретные выводы.

1. Контролируй инфраструктуру. Знай, где сервера, кто имеет доступ, как провайдер реагирует на инциденты. В NameOcean мы строим Vibe Hosting с упором на security-first — доверие клиентов на первом месте.

2. ИИ меняет правила. Ransomware уже юзает AI для атак. Разработчикам пора применять его для защиты, оптимизации и качества кода.

3. Риски цепочки — в обе стороны. Уязвимы не только зависимости в коде, но и хостинг, DNS-регистраторы, облака. Аудиты и диверсификация — минимум.

4. Опсек не спасёт от архитектурных дыр. Даже крутые шифры бесполезны, если данные на взломанном хостинге.

Главный вывод

Ransomware эволюционировали в бизнесы с revenue share и техотделами. Масштаб требует инфраструктуры, а она несёт риски провайдеров.

Мы в NameOcean ставим security, прозрачность и надёжность во главу угла. Domains, DNS, hosting — это основа твоего присутствия онлайн.

The Gentlemen заплатили по полной. А вы?

Инфраструктуру нельзя скинуть на аутсорс и забыть. Для стартапа или enterprises цепочки зависимостей — от регистратора доменов до хостинга и облака — под полным контролем. В NameOcean мы строим всё на принципах безопасности, потому что знаем цену провала.