⚡ Points Clés

Le groupe de ransomware The Gentlemen a revendiqué environ 332 victimes publiques en 5 mois en 2026 — dépassant le rythme d’Akira sur sa première année — en offrant aux affiliés une part de 90 % des revenus, la plus élevée du marché RaaS. Leur encrypteur Go multiplateforme cible Windows, Linux, ESXi et NAS simultanément, avec CVE-2024-55591 (FortiOS) comme vecteur d’entrée principal. Une fuite du backend a exposé environ 14 700 appareils FortiGate déjà compromis dans leur inventaire.

En résumé: Corriger immédiatement CVE-2024-55591 dans FortiOS, appliquer le cloisonnement AD pour bloquer la détonation à l’échelle du domaine, et déployer un DLP sur les sorties réseau — le modèle de double extorsion signifie que les sauvegardes seules ne suffiront pas.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Moyenne
les entreprises algériennes utilisent des environnements ESXi/NAS et des appliances FortiGate ; le vecteur d’attaque CVE-2024-55591 affecte toute installation FortiOS non corrigée
Infrastructure Prête ?
Partielle
la plupart des entreprises algériennes manquent de détection dédiée de l’exfiltration de données et de DLP aux sorties réseau ; l’isolation des sauvegardes est inconsistante
Compétences Disponibles ?
Partielles
l’expertise DLP et EDR est limitée sur le marché local ; le cloisonnement AD est rarement implémenté dans les environnements de marché intermédiaire
Calendrier d’Action
Immédiat
Assessment: Immédiat. Review the full article for detailed context and recommendations.
Parties Prenantes Clés
RSSI, équipes SOC, responsables IT dans les entreprises et institutions algériennes utilisant des infrastructures FortiGate, ESXi ou NAS
Assessment: RSSI, équipes SOC, responsables IT dans les entreprises et institutions algériennes utilisant des infrastructures FortiGate, ESXi ou NAS. Review the full article for detailed context and recommendations.
Type de Décision
Tactique
Assessment: Tactique. Review the full article for detailed context and recommendations.

En bref: Le vecteur d’entrée principal de The Gentlemen — une CVE dans FortiOS corrigée début 2025 — reste exploitable dans les organisations qui n’ont pas appliqué les mises à jour. Toute entreprise algérienne utilisant des appliances FortiGate devrait vérifier immédiatement le statut des correctifs. Au-delà du patching, le modèle de double extorsion signifie que les stratégies de récupération basées uniquement sur les sauvegardes sont insuffisantes : la détection de l’exfiltration aux sorties réseau doit être traitée comme une priorité égale à la protection des endpoints.

Publicité

Comment un Groupe de Ransomware Émergent a Surpassé le Marché

Lorsque le groupe de ransomware The Gentlemen a émergé en juillet 2025 — opérant initialement sous le nom « ArmCorp », une scission du réseau d’affiliés Qilin — la communauté du renseignement sur les menaces a noté une autre entrée de niveau intermédiaire dans un marché RaaS saturé. Ce que personne n’avait prévu, c’était à quelle vitesse une seule décision structurelle allait transformer un groupe d’anciens affiliés Qilin mécontents en la deuxième opération de ransomware la plus productive au monde.

Cette décision était la répartition des revenus 90/10.

Les programmes RaaS établis — RansomHub, LockBit 3.0, Akira — offrent généralement aux affiliés entre 70 % et 80 % des rançons collectées. Selon l’évaluation des menaces de Halcyon sur The Gentlemen, seul RansomHub avait précédemment égalé le versement de 90 % aux affiliés de The Gentlemen. Pour un opérateur qui extorque avec succès une rançon de 250 000 dollars — une négociation documentée de The Gentlemen réglée à 190 000 dollars — la différence entre une part de 80 % et de 90 % représente 19 000 dollars par transaction. À grande échelle, ce différentiel est une machine à recruter.

Les calculs sont favorables. Le vivier d’affiliés de The Gentlemen semble restreint mais expérimenté : l’analyse des opérations du groupe par Group-IB a documenté une équipe réduite d’opérateurs nommés et une poignée d’identifiants Tox affiliés distincts, tous organisés autour d’une seule identité d’administrateur. Des équipes réduites, des marges élevées, des outils partagés — et une philosophie selon laquelle une rémunération maximale des affiliés attire des talents affiliés maximaux.

En janvier 2026, le groupe revendiquait 48 attaques par mois. En février, 91. Une croissance comparable à l’expansion précoce de LockBit 3.0, de la part d’une équipe apparue seulement six mois auparavant.

L’Économie des Affiliés qui a Changé le Marché

Le modèle 90/10 n’est pas seulement un choix de rémunération — c’est une stratégie d’acquisition de talents qui détermine directement la qualité du ciblage des victimes. Lorsque les affiliés conservent davantage, ils investissent davantage dans le ciblage de haute valeur et l’accès initial sophistiqué.

Les affiliés de The Gentlemen le démontrent dans leur outillage. La dissection technique du Microsoft Security Blog a trouvé un encrypteur en Go déployant 21 techniques d’exécution à distance distinctes par cible lors de sa phase d’auto-propagation — PsExec, WMIC, tâches planifiées, PowerShell WinRM, PowerShell WMI — couvrant presque chaque voie d’exécution à distance disponible dans un domaine Windows. Ce n’est pas le travail d’opérateurs débutants. C’est le produit de professionnels expérimentés du ransomware qui ont choisi The Gentlemen précisément parce qu’il paie mieux.

Le modèle financier explique également une autre caractéristique distinctive : la répartition géographique. L’analyse de Halcyon a révélé que seulement 7 % des victimes étaient basées aux États-Unis — un chiffre inhabituellement bas pour les opérations de ransomware, qui se concentrent généralement sur des cibles américaines pour des plafonds de rançon plus élevés. Le principal pays cible de The Gentlemen était la Thaïlande (27 victimes), avec des attaques distribuées dans 66 pays et 20 secteurs d’activité, notamment les services informatiques, la construction, la fabrication, les services financiers et la santé. Des affiliés cherchant le volume — pas seulement des cibles uniques de haute valeur — exploitent le modèle à 90 % dans toute géographie offrant un accès.

De manière cruciale, l’approche de double extorsion soutient l’économie. Les affiliés exfiltrent les données avant de les chiffrer, créant deux points de levier distincts : restaurer-ou-payer contre publier-ou-payer. Même dans des environnements où l’infrastructure de sauvegarde est intacte et la récupération faisable, la perspective de publication de données sensibles maintient les conversations de rançon actives. C’est la pression « sans chiffrement » que le groupe exerce : l’exfiltration seule peut générer un paiement de rançon même lorsque le chiffrement échoue.

Publicité

Couverture Multiplateforme : Pourquoi ESXi et NAS Sont le Risque Critique

La base de code multiplateforme de The Gentlemen — un encrypteur Go pour Windows et Linux, un verrouilleur en C spécifiquement pour ESXi — est conçue pour l’infrastructure d’entreprise. La logique de ciblage est délibérée : compromettre un hyperviseur ESXi et vous chiffrez potentiellement des dizaines de machines virtuelles simultanément. Compromettre un périphérique NAS et vous éliminez à la fois les données primaires et les copies de sauvegarde en une seule action.

La charge utile spécifique à ESXi ajoute une persistance au démarrage automatique et attaque simultanément les clusters VMware vSAN. Avant le chiffrement, elle arrête gracieusement les machines virtuelles avant de forcer leur arrêt, vide les tampons de cache et désactive la récupération automatique — ne laissant aux administrateurs aucune voie de restauration viable depuis la couche hyperviseur.

Pour les environnements Windows, la liste de vérification avant chiffrement est tout aussi méthodique : désactiver la surveillance en temps réel de Microsoft Defender, supprimer les Volume Shadow Copies via vssadmin et WMIC, effacer les journaux d’événements Système/Application/Sécurité, supprimer les fichiers de prélecture et les journaux RDP, terminer plus de 40 processus couvrant SQL Server, Oracle, MySQL, les logiciels de sauvegarde, les agents EDR et les applications Office. Au moment où le chiffrement commence, l’environnement est isolé à la fois de ses défenses et de ses outils de récupération.

L’accès initial se concentre sur CVE-2024-55591, un contournement d’authentification critique de FortiOS/FortiProxy. L’analyse forensique de Group-IB a constaté que les opérateurs maintenaient un inventaire d’environ 14 700 appareils FortiGate pré-compromis dans le monde, complété par environ 1 000 identifiants VPN FortiGate obtenus par force brute. Une organisation avec un appareil FortiGate vulnérable et exposé à Internet peut déjà figurer dans cet inventaire — en attente que le bon affilié active l’accès.

Une fois à l’intérieur, le mouvement latéral utilise le détournement de la stratégie de groupe Active Directory pour une détonation simultanée à l’échelle du domaine. La chronologie attaque-vers-chiffrement est mesurée en heures.

Ce que les Équipes de Sécurité d’Entreprise Doivent Faire

Le modèle de The Gentlemen exploite trois modes de défaillance prévisibles : les appliances de périphérie exposées, les environnements Active Directory plats et la détection insuffisante de l’exfiltration. Chacun a une voie d’atténuation concrète.

1. Patcher et Segmenter Immédiatement les Appliances Orientées Internet

CVE-2024-55591 (contournement d’authentification FortiOS/FortiProxy) est le principal vecteur d’accès initial documenté. Toute organisation exploitant FortiGate, FortiProxy ou des appliances de périphérie similaires sans application des correctifs disponibles est candidate à l’inventaire pré-construit de The Gentlemen. La cadence de correction des appliances réseau orientées Internet doit être traitée comme un événement de sévérité 1 — pas comme une fenêtre de maintenance planifiée. En parallèle, segmentez les interfaces de gestion sur des réseaux OOB (out-of-band) isolés inaccessibles depuis Internet. Si l’administration à distance des appliances de périphérie nécessite une accessibilité Internet, il s’agit d’un problème d’architecture réseau, pas d’un problème de configuration.

2. Appliquer le Cloisonnement AD et la Surveillance des Changements GPO pour Prévenir la Détonation à l’Échelle du Domaine

Le détournement de la stratégie de groupe à l’échelle du domaine est l’étape d’escalade qui convertit une compromission mono-hôte en un événement de chiffrement d’entreprise complet. Les affiliés de The Gentlemen ne peuvent exécuter cela que s’ils ont atteint l’accès au contrôleur de domaine — typiquement via des environnements Active Directory plats sans séparation de niveaux. Implémentez le cloisonnement AD (Niveaux 0/1/2) afin que la compromission d’un poste de travail ou d’un serveur de niveau intermédiaire ne permette pas l’accès direct aux identifiants du contrôleur de domaine. Surveillez la création et la modification non autorisées de GPO en utilisant Microsoft Advanced Threat Analytics, Defender for Identity, ou des règles SIEM qui alertent sur tout changement de GPO ne provenant pas de comptes administrateurs approuvés. Un seul changement de GPO non autorisé est un signal d’incident critique — traitez-le comme une compromission complète en cours.

3. Déployer la DLP et la Surveillance de l’Exfiltration Avant l’Exécution du Chiffrement

Le modèle de double extorsion de The Gentlemen signifie que même une récupération réussie du chiffrement ne clôt pas l’incident. Si des données ont été exfiltrées avant l’exécution de l’encrypteur — et l’analyse forensique de Huntress confirme que les défenseurs ne peuvent souvent pas détecter de manière fiable la frontière entre les phases d’exfiltration et de chiffrement — l’organisation fait face à des menaces de publication continues. Déployez la prévention des pertes de données (DLP) aux points de sortie réseau, configurée pour alerter sur des volumes importants de trafic sortant chiffré vers des destinations non répertoriées, sur la mise en zone de préparation en masse inhabituelle de fichiers dans des répertoires temporaires, et sur des modèles d’accès anormaux aux serveurs de fichiers ou aux périphériques NAS en dehors des heures ouvrables. La phase d’exfiltration est plus lente et plus bruyante que le chiffrement — c’est la fenêtre de détection que la plupart des organisations manquent.

4. Tester l’Isolation des Sauvegardes et la Récupération Avant un Incident

La liste de vérification avant chiffrement — suppression des Shadow Copies, ciblage NAS, élimination des snapshots VMware — est conçue pour éliminer chaque voie de récupération disponible dans un environnement d’entreprise par défaut. Testez trimestriellement la restauration des sauvegardes à partir de copies hors ligne ou en air gap. Vérifiez que les interfaces de gestion des sauvegardes ne sont pas accessibles depuis les réseaux de production. Les environnements ESXi en particulier nécessitent des politiques de snapshot au niveau de l’hyperviseur qui ne sont pas accessibles via les mêmes identifiants utilisés pour l’administration des VM.

La Vue d’Ensemble : Quand l’Économie des Affiliés Détermine la Vélocité des Menaces

La montée de The Gentlemen est une étude de cas sur ce qui se passe lorsque l’économie RaaS atteint son extrême logique. La répartition 90/10 n’attire pas seulement des affiliés — elle attire des affiliés qui ont déjà opéré dans des programmes concurrents, portent une connaissance institutionnelle des réseaux d’entreprise et apportent avec eux des outils pré-construits et des inventaires d’accès. Chaque transfuge de RansomHub, Qilin ou LockBit qui rejoint The Gentlemen apporte un accès aux victimes existantes et une méthodologie d’attaque.

C’est pourquoi la courbe de croissance est verticale plutôt qu’incrémentale. The Gentlemen n’a pas construit ses capacités from scratch — il les a achetées avec une prime de 10 % sur le marché.

Pour les équipes de sécurité d’entreprise, la leçon structurelle est la suivante : le marché des ransomwares fonctionne désormais avec la discipline d’un marché concurrentiel des talents. Les groupes qui offrent une meilleure économie attirent de meilleurs opérateurs. De meilleurs opérateurs exécutent plus vite, plus complètement et contre des cibles plus difficiles. La vélocité des menaces que les organisations ont vécue avec LockBit à son apogée est désormais la norme standard pour tout nouveau groupe prêt à payer correctement ses affiliés.

La posture défensive requise n’est pas un cycle réactif de correction. C’est une hypothèse adversariale continue — traiter la compromission des appliances de périphérie comme probable, l’accès au contrôleur de domaine comme la frontière critique à défendre, et la détection de l’exfiltration comme la dernière fenêtre avant qu’un incident ne devienne incontrôlable.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Foire Aux Questions

Pourquoi la part affilié de 90/10 de The Gentlemen est-elle significative pour les défenseurs d’entreprise ?

La part de revenu affilié de 90 % attire des opérateurs de ransomware expérimentés qui travaillaient précédemment avec des groupes concurrents comme Qilin, LockBit ou RansomHub. Ce ne sont pas des attaquants débutants — ils apportent des outils pré-construits, des inventaires d’accès réseau existants et des techniques raffinées pour contourner les défenses d’entreprise. Une rémunération affilié plus élevée se traduit directement par une qualité d’opérateur plus élevée et des attaques plus rapides et plus complètes.

Les organisations peuvent-elles récupérer en restaurant des sauvegardes si le ransomware The Gentlemen frappe ?

Pas de manière fiable. La routine avant chiffrement de The Gentlemen élimine spécifiquement les Volume Shadow Copies, les snapshots VMware, les cibles de sauvegarde NAS et tout processus logiciel de sauvegarde s’exécutant sur le réseau. Plus important encore, leur modèle de double extorsion signifie que les affiliés exfiltrent les données sensibles avant de les chiffrer — donc même une récupération complète réussie du chiffrement laisse les organisations face à une menace de publication de données que les sauvegardes ne peuvent pas résoudre.

Quelle est l’action défensive la plus efficace contre le vecteur d’accès initial de The Gentlemen ?

Corriger CVE-2024-55591 dans FortiOS/FortiProxy et segmenter les interfaces de gestion FortiGate loin de l’exposition Internet. Les opérateurs de The Gentlemen maintiennent un inventaire d’environ 14 700 appareils FortiGate pré-compromis — une organisation avec un FortiGate non corrigé et exposé à Internet peut déjà figurer dans cet inventaire. Au-delà du patching, la surveillance des changements non autorisés de la stratégie de groupe dans Active Directory fournit une alerte précoce avant la détonation à l’échelle du domaine.

Sources et Lectures Complémentaires