Программа-вымогатель Gentlemen атакует Soja de Portugal, утечка 491 ГБ

Программа-вымогатель Gentlemen атакует Soja de Portugal, утечка 491 ГБ

Группа-вымогатель Gentlemen взяла на себя ответственность за атаку на Soja de Portugal, одну из ведущих сельскохозяйственных компаний Португалии, в результате которой было раскрыто 491 ГБ конфиденциальных корпоративных данных. Согласно публикации DeXpose, скомпрометированная информация включает записи SAP-систем, данные сотрудников и финансовые документы. Исходная статья датирована 4 июня 2026 года, что, по-видимому, является либо ошибкой отчётности, либо публикацией с будущей датой; читателям следует учитывать, что фактическая точность этой конкретной даты не может быть независимо подтверждена, хотя несколько источников Threat Intelligence подтвердили сам факт утечки как недавнее событие.

Инцидент пополняет растущий список атак, приписываемых The Gentlemen — операции «программа-вымогатель как услуга», которая, по словам исследователей, появилась публично во второй половине 2025 года и с тех пор заявила о сотнях жертв в разных отраслях и странах.

Кто такие The Gentlemen и почему они эффективны?

Группа Gentlemen действует как платформа «программа-вымогатель как услуга» (RaaS), то есть основные разработчики лицензируют своё вредоносное ПО и инфраструктуру аффилированным злоумышленникам, которые проводят отдельные кампании. Эта модель снижает порог входа для киберпреступников и усложняет атрибуцию для следователей.

Отличие этой группы от более старых операций вымогателей заключается в последовательном использовании двойного вымогательства: они одновременно шифруют данные жертвы и извлекают их до запуска шифрования. Это означает, что даже организации с надёжными процедурами резервного копирования сталкиваются со второй угрозой: публикацией или продажей украденных данных, если выкуп не будет выплачен. В случае Soja de Portugal группа, по-видимому, осуществила эту угрозу — 491 ГБ, как сообщается, были опубликованы или стали доступны через их инфраструктуру утечек.

Исследователи отмечают, что инструментарий The Gentlemen нацелен на Windows, Linux, гипервизоры ESXi и NAS-устройства, что позволяет нарушать работу самых разных бизнес-сред — от традиционных офисных сетей до виртуализированных центров обработки данных.

Какие данные были раскрыты и почему это важно

Категории данных, затронутых утечкой в Soja de Portugal, заслуживают внимательного рассмотрения. Особенно значимы SAP-данные: SAP — это платформа планирования ресурсов предприятия (ERP), используемая крупными организациями для управления всем — от цепочек поставок и закупок до расчёта зарплаты и бухгалтерии. Утечка SAP-данных может единовременно раскрыть контракты с поставщиками, структуру ценообразования, внутренние финансовые прогнозы и детали вознаграждения сотрудников.

Записи о сотрудниках — ещё одна подтверждённая категория этой утечки — обычно включают имена, идентификационные номера, контактные данные, а иногда и банковскую информацию для начисления зарплаты. Когда эти данные утекают, возникают риски не только для организации, но и для отдельных работников.

Такая модель атаки на корпоративные бизнес-системы не уникальна для этого инцидента. Похожие случаи, например, атака программы-вымогателя Play на Ampex Data Systems, показывают, как злоумышленники отдают приоритет ценным хранилищам данных, включая личную информацию сотрудников и финансовые записи, именно потому, что они обладают как рычагом для выкупа, так и стоимостью при перепродаже на криминальных рынках.

Сельскохозяйственные и производственные компании становятся всё более привлекательными целями, потому что часто используют смесь устаревших операционных технологий и современного корпоративного программного обеспечения, создавая более обширную и менее однородную поверхность атаки, чем организации, построившие свою инфраструктуру недавно.

Почему одной только периметровой безопасности недостаточно

Один из важнейших уроков подобных инцидентов заключается в том, что традиционная периметровая защита — межсетевые экраны, антивирусное ПО и мониторинг сети — необходима, но недостаточна. Группировка The Gentlemen и подобные ей операции, как известно, получают первоначальный доступ через фишинговые кампании, открытые порты протокола удалённого рабочего стола (RDP) и скомпрометированные учётные данные. Оказавшись внутри сети, они перемещаются латерально, часто в течение нескольких дней или недель, прежде чем развернуть программу-вымогатель.

Именно поэтому специалисты по безопасности всё чаще выступают за многоуровневый подход к защите организации. К числу наиболее эффективных уровней относятся:

• Доступ к сети по модели нулевого доверия: вместо того чтобы доверять любому устройству или пользователю внутри периметра сети, архитектура нулевого доверия требует постоянной проверки личности и состояния устройства перед предоставлением доступа к любому ресурсу.
• Зашифрованный удалённый доступ: VPN и аналогичные инструменты защищают данные при передаче и снижают риск перехвата учётных данных на незащищённых соединениях, особенно для удалённых и гибридных сотрудников, работающих с чувствительными системами.
• Сегментация сети: изоляция систем, таких как SAP, от обычных рабочих станций сотрудников ограничивает способность злоумышленника к латеральному перемещению после получения первоначальной опоры.
• Обнаружение и реагирование на конечных точках (EDR): в отличие от устаревшего антивируса, инструменты EDR отслеживают поведенческие аномалии, которые могут указывать на активность злоумышленника внутри сети ещё до развёртывания вредоносного ПО.

Атака программы-вымогателя на ChipSoft в Нидерландах проиллюстрировала аналогичную модель неудачи: злоумышленники смогли получить доступ и извлечь большие объёмы данных, потому что внутренние системы не были достаточно сегментированы, а контроль доступа не был достаточно гранулярным, чтобы сдержать утечку после первоначального проникновения.

Что это значит для вас

Независимо от того, является ли ваша организация международной корпорацией или региональным бизнесом, как Soja de Portugal, расчёт рисков изменился. Группировки вымогателей с моделью RaaS способны проводить атаки в больших масштабах, нацеливаясь на любой сектор, где есть ценные данные. Сельскохозяйственные компании, логистические фирмы и производители, возможно, исторически не считали себя целями высокой ценности, но данные, которые они хранят в ERP и HR-системах, говорят об обратном.

Вот конкретные шаги, которые организации могут предпринять для снижения своей уязвимости:

• Проведите аудит точек удалённого доступа: выявите все сервисы, обращённые в интернет, особенно шлюзы RDP и VPN, и убедитесь, что они защищены многофакторной аутентификацией и регулярно обновляемыми учётными данными.
• Внедрите доступ с наименьшими привилегиями: сотрудники и системы должны иметь доступ только к тем данным и приложениям, которые им действительно необходимы. Широкие права доступа ускоряют латеральное перемещение после взлома.
• Проверяйте резервные копии: автономные или неизменяемые резервные копии являются критической защитой от шифрующих программ-вымогателей, но только если они регулярно тестируются и подтверждается возможность восстановления.
• Классификация данных и шифрование в состоянии покоя: понимание того, какие данные наиболее чувствительны, и обеспечение их шифрования даже при хранении внутри системы снижает ценность извлечённых файлов для злоумышленников.

Утечка в Soja de Portugal — полезный пример для изучения не потому, что он исключителен, а потому, что он всё более типичен. По мере того как атаки программ-вымогателей продолжают раскрывать большие объёмы корпоративных данных в различных секторах, организации, которые чувствуют себя лучше всего, — это те, кто относится к безопасности как к непрерывному процессу, а не разовой инвестиции. Провести ревизию контроля доступа, сетевой архитектуры и плана реагирования на инциденты сейчас значительно дешевле, чем разбираться с утечкой 491 ГБ данных постфактум.