Хакери-вимагачі Gentlemen атакували Soja de Portugal, злив 491 ГБ даних

Хакери-вимагачі Gentlemen атакували Soja de Portugal, злив 491 ГБ даних

Угруповання вимагачів Gentlemen взяло на себе відповідальність за атаку на Soja de Portugal, одну з провідних аграрних компаній Португалії, внаслідок чого було оприлюднено 491 ГБ конфіденційних корпоративних даних. Згідно з публікацією DeXpose, скомпрометовані дані містять записи системи SAP, відомості про працівників та фінансові документи. Джерело вказало дату 4 червня 2026 року, що, ймовірно, є або помилкою, або публікацією з майбутньою датою; читачам варто зважати, що фактичну точність цієї конкретної дати неможливо підтвердити незалежно, хоча кілька джерел із кіберрозвідки підтвердили сам факт витоку як нещодавню подію.

Цей інцидент поповнює дедалі довший список атак, приписуваних The Gentlemen — операторам програми Ransomware-as-a-Service, яка, за словами дослідників, публічно з’явилася в другій половині 2025 року і відтоді нараховує сотні жертв у різних галузях і країнах.

Хто такі The Gentlemen і чому вони ефективні?

Угруповання The Gentlemen діє як платформа Ransomware-as-a-Service (RaaS), тобто основні розробники надають ліцензію на своє шкідливе ПЗ та інфраструктуру афілійованим зловмисникам, які проводять окремі кампанії. Така модель знижує бар’єр входу для кіберзлочинців і ускладнює встановлення джерела атаки для слідчих.

Відмінністю цього угруповання від старіших операцій із вимагацьким ПЗ є послідовне використання подвійного здирництва: вони одночасно шифрують дані жертви й вилучають їх перед запуском шифрування. Це означає, що навіть організації з надійними процедурами резервного копіювання стикаються з іншою загрозою — публічним оприлюдненням або продажем викрадених даних, якщо викуп не буде сплачено. У випадку Soja de Portugal угруповання, схоже, реалізувало цю погрозу: повідомляється, що 491 ГБ було опубліковано або зроблено доступним через їхню інфраструктуру зливу даних.

Дослідники зазначають, що інструментарій The Gentlemen націлений на Windows, Linux, гіпервізори ESXi й NAS-пристрої, що дозволяє їм порушувати роботу різноманітних бізнес-середовищ: від традиційних офісних мереж до віртуалізованих центрів обробки даних.

Які дані були оприлюднені та чому це важливо

Категорії даних, яких торкнувся витік у Soja de Portugal, варті ретельного аналізу. Особливо показовими є дані SAP: SAP — це платформа для планування ресурсів підприємства (ERP), яку використовують великі організації для управління всім — від ланцюгів постачання й закупівель до розрахунку зарплати й бухгалтерського обліку. Витік даних SAP може одночасно розкрити контракти з постачальниками, цінові структури, внутрішні фінансові прогнози та деталі компенсацій працівників.

Дані про працівників, ще одна підтверджена категорія в цьому витоку, зазвичай містять імена, ідентифікаційні номери, контактні дані, а іноді й банківську інформацію для виплати зарплати. Коли такі дані оприлюднюються, це створює подальші ризики для самих працівників, а не лише для організації.

Така націленість на корпоративні бізнес-системи не є унікальною для цієї атаки. Подібні інциденти, як-от атака вимагачів Play на Ampex Data Systems, показали, як зловмисники віддають перевагу сховищам високоцінних даних, включно з персональними даними працівників і фінансовими записами, саме через те, що вони забезпечують важіль для викупу й мають вартість для перепродажу на кримінальних ринках.

Аграрні й виробничі компанії стають дедалі привабливішими цілями, оскільки вони часто працюють із поєднанням застарілих операційних технологій і сучасного корпоративного програмного забезпечення, що створює більшу й менш однорідну поверхню атаки, ніж в організацій, які вибудовували свою інфраструктуру нещодавно.

Чому самого лише периметрального захисту недостатньо

Один із найважливіших уроків таких інцидентів полягає в тому, що традиційні засоби периметрального захисту — брандмауери, антивірусне ПЗ і моніторинг мережі — необхідні, але недостатні. Угруповання The Gentlemen і подібні до них, як відомо, отримують початковий доступ через фішингові кампанії, відкриті порти віддаленого робочого столу (RDP) і скомпрометовані облікові дані. Потрапивши в мережу, вони переміщуються латерально, часто днями або тижнями, перш ніж розгорнути програму-вимагач.

Саме тому фахівці з безпеки дедалі частіше виступають за багаторівневий підхід до захисту організацій. До найефективніших рівнів належать:

• Доступ із нульовою довірою: замість того, щоб довіряти будь-якому пристрою чи користувачеві всередині мережевого периметра, архітектура нульової довіри вимагає постійної перевірки ідентичності й стану пристрою перед наданням доступу до будь-якого ресурсу.
• Зашифрований віддалений доступ: VPN та подібні інструменти захищають дані під час передачі й зменшують ризик перехоплення облікових даних на незахищених з’єднаннях, особливо для віддалених і гібридних працівників, які отримують доступ до чутливих систем.
• Сегментація мережі: ізоляція таких систем, як SAP, від звичайних робочих станцій співробітників обмежує здатність зловмисника переміщуватися латерально після отримання початкової точки опори.
• Виявлення та реагування на кінцевих точках (EDR): на відміну від застарілого антивірусу, інструменти EDR відстежують поведінкові аномалії, які можуть свідчити про дії зловмисника всередині мережі, ще до розгортання шкідливого ПЗ.

Атака програми-вимагача на ChipSoft у Нідерландах показала схожий сценарій невдачі: зловмисники змогли отримати доступ і вилучити великі обсяги даних, оскільки внутрішні системи не були достатньо сегментовані, а контроль доступу не був достатньо деталізованим, щоб стримати витік після початкового проникнення.

Що це означає для вас

Незалежно від того, чи є ваша організація транснаціональною корпорацією, чи регіональним бізнесом, як Soja de Portugal, розрахунок ризиків змінився. Угруповання вимагачів із моделлю RaaS можуть розгортати атаки у великих масштабах, націлюючись на будь-який сектор, де існують цінні дані. Аграрні компанії, логістичні фірми й виробники, можливо, історично не розглядали себе як цінні мішені, але дані, які вони зберігають у системах ERP та HR, розповідають іншу історію.

Ось конкретні кроки, які організації можуть зробити для зменшення власної вразливості:

• Аудит точок віддаленого доступу: визначте всі служби, доступні з інтернету, особливо шлюзи RDP та VPN, і переконайтеся, що вони захищені багатофакторною автентифікацією та регулярно оновлюваними обліковими даними.
• Запровадьте доступ із найменшими привілеями: співробітники й системи повинні мати доступ лише до тих даних і додатків, яких дійсно потребують. Широкі права доступу пришвидшують латеральне переміщення після зламу.
• Тестуйте свої резервні копії: офлайн-копії або незмінні резервні копії є критичним захистом від програм-вимагачів, що шифрують дані, але тільки якщо їх регулярно тестують і підтверджують можливість відновлення.
• Класифікація даних та шифрування в стані спокою: знання того, які дані є найбільш чутливими, та забезпечення їх шифрування навіть під час внутрішнього зберігання знижує цінність викрадених файлів для зловмисників.

Витік у Soja de Portugal є корисним прикладом не через свою винятковість, а тому, що він стає дедалі типовішим. Оскільки атаки програм-вимагачів продовжують оприлюднювати великі обсяги корпоративних даних у різних секторах, найкраще дають собі раду ті організації, які ставляться до безпеки як до безперервного процесу, а не одноразової інвестиції. Перевірити ваші засоби контролю доступу, мережеву архітектуру й план реагування на інциденти зараз значно дешевше, ніж розбиратися з 491 ГБ витоку даних постфактум.