الممثل المهدد zeta88 يروج لعملية ransomware-as-a-service جديدة تُدعى The Gentlemen's RaaS في منتديات الهكر، مستهدفًا أنظمة Windows وLinux وESXi. تقدم المنصة للشركاء 90 في المئة من مدفوعات الفدية وتتميز بأدوات تشفير عابرة للمنصات تم تطويرها بلغوي Go وC. يبرز هذا التطور التجارية المستمرة للرنسوموير المتطور المستهدف لبيئات المؤسسات.
في 29 أكتوبر 2025، ظهرت تقارير استخبارات التهديدات التي تفصل إعلان The Gentlemen's RaaS من قبل المشغل المعروف باسم zeta88 عبر منتديات الهكر السرية. هذا الـ ransomware-as-a-service (RaaS) عابر للمنصات يستهدف أنظمة المؤسسات التي تعمل بنظام Windows وLinux —بما في ذلك تخزين الشبكة المتصل (NAS) ومتغيرات BSD— وبيئات افتراضية VMware ESXi.
تركز العمارة التقنية على الوحدية والكفاءة. قفل Windows وLinux مبني بلغة Go للترجمة العابرة ولتحسين الموارد، بينما المتغير ESXi، المكود بلغة C، له حجم مدمج يقارب 32 كيلوبايت لتسهيل النشر الخفي في الإعدادات الافتراضية. يعتمد التشفير على شيفرة التدفق XChaCha20 وCurve25519 لتبادل المفاتيح، مع مفاتيح مؤقتة لكل ملف لتعطيل جهود التشفير. تشمل آليات الانتشار والاستمرارية Windows Management Instrumentation (WMI) وWMIC وSCHTASKS للمهام المجدولة وSC للخدمات وPowerShell Remoting، مما يمكن الحركة الجانبية والتنفيذ عند التشغيل. يقوم البرمجيات الضارة أيضًا بأتمتة اكتشاف مشاركة الشبكة للانتشار الشبيه بالدودة.
اقتصاديًا، يخصص البرنامج 90 في المئة من عوائد الفدية للشركاء، مع الاحتفاظ المشغلين بـ10 في المئة. يسيطر الشركاء على المفاوضات، مستفيدين من خبرتهم، بينما يقدم المشغل دعمًا خلفيًا، بما في ذلك موقع تسرب البيانات للبيانات المستخرجة ومفك عام لجميع المنصات. الترجمات محمية بكلمة مرور لتجنب التحليل.
تستثني العملية الأهداف في روسيا ودول رابطة الدول المستقلة (CIS)، وهي سمة شائعة في الجرائم الإلكترونية التابعة لروسيا. جميع المواصفات تنبع من مواد ترويجية غير موثقة، لكنها تتوافق مع الاتجاهات في تطوير الرنسوموير المهني. يُنصح المنظمات بتعزيز كشف نقاط النهاية وتقسيم الشبكة والنسخ الاحتياطي ضد مثل هذه التهديدات.
