DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • DCOD Signalement des failles dIA
    Signalement des failles d’IA : FLARE-AI propose sa solution
  • Illustration pour la veille cybercriminalité et crypto : une paire de menottes en métal repose sur un clavier d'ordinateur au premier plan. En arrière-plan sombre, une silhouette de hacker encapuchonné fait face à un réseau lumineux d'icônes de cryptomonnaies interconnectées, incluant les symboles du Bitcoin et de l'Ethereum, dans des teintes bleues et rouges.
    Cybercriminalité : les 11 opérations et arrestations du 10 juillet 2026
  • Une photographie de studio nette montrant deux mains portant des gants de boxe s'affrontant sur un fond gris neutre. La main gauche porte un gant de boxe blanc avec trois bandes fuchsia fuchsia, associée au logo étoile orange et au texte 'Claude' superposé. La main droite porte un gant de boxe noir uni, associée au logo vagues stylisées et au texte 'Alibaba' superposé. Les deux paires se font face dans un geste d'affrontement ou de combat symbolique. Le filigrane 'dcod.ch' est en bas à droite. Les logos et textes sont clairs.
    Alibaba bannit Claude Code après la découverte d’un mouchard
  • Illustration pour la veille sur les fuites de données : une silhouette de hacker encapuchonné dans l'ombre, sur fond de code informatique bleu, est traversée par des faisceaux lumineux diagonaux orange intenses évoquant une alerte de sécurité ou une brèche active.
    Fuites de données : les 12 incidents majeurs au 9 juillet 2026
  • Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
    Le spyware Pegasus pirate le téléphone d’un enquêteur européen
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cybercrime

Comment le ransomware The Gentlemen paralyse usines et hôpitaux ?

  • Marc Barbezat
  • 20 février 2026
  • 5 minutes de lecture
Panneau indicateur vintage avec l'inscription "GENTLEMEN" et une flèche pointant vers la droite, utilisé comme illustration pour le ransomware The Gentlemen.
Le ransomware The Gentlemen menace les réseaux industriels mondiaux. Cette analyse détaille ses méthodes de double extorsion et ses tactiques d’évasion furtives.

TL;DR : L’essentiel

  • Apparu mi-2025, le ransomware The Gentlemen cible les infrastructures complexes de 17 pays. Ce groupe privilégie les secteurs industriels et de santé pour maximiser la pression lors des négociations financières de rançons.
  • Techniquement, ce virus écrit en Go nécessite un mot de passe de huit octets pour s’activer. Ce verrouillage sophistiqué empêche les outils de sécurité automatisés d’analyser le code malveillant sans intervention humaine.
  • Pour neutraliser les défenses, les attaquants utilisent des pilotes officiels détournés comme ThrottleBlood.sys. Cette méthode permet d’arrêter les antivirus au cœur du système, laissant le champ libre au chiffrement total des données.
  • Le modèle économique repose sur une franchise offrant 90% des gains aux complices. Ce système a déjà permis de dérober près de 2 téraoctets de données confidentielles chez des victimes industrielles majeures.
▾ Sommaire
TL;DR : L’essentielLe ransomware The Gentlemen détourne les processus d’administrationUne franchise criminelle portée par le ransomware The GentlemenFoire aux questions sur la menace The GentlemenQu’est-ce qu’un ransomware et le principe de double extorsion ?Comment fonctionne le modèle Ransomware-as-a-Service (RaaS) ?De quelle manière les attaquants détournent-ils l’administration système ?Quelles mesures permettent de se protéger efficacement ?

L’émergence du ransomware The Gentlemen mi-2025 marque une nouvelle étape dans la professionnalisation du cybercrime organisé. Ce groupe ne se contente pas de chiffrer les données pour réclamer une rançon : il s’introduit dans les systèmes les plus complexes pour paralyser des secteurs vitaux comme la manufacture, la finance et la santé. En ciblant des infrastructures critiques aux États-Unis, en France ou en Thaïlande, ces attaquants démontrent une maturité opérationnelle qui suggère l’implication d’opérateurs expérimentés, possiblement issus d’anciens réseaux criminels. Leur stratégie repose sur une compréhension fine des architectures informatiques modernes, permettant une infiltration silencieuse avant le déclenchement d’un blocage total des opérations.

Le ransomware The Gentlemen détourne les processus d’administration

Pour pénétrer les réseaux, les attaquants exploitent des accès distants vulnérables, notamment des interfaces de gestion VPN ou des pare-feu mal sécurisés. Une fois à l’intérieur, ils utilisent des utilitaires légitimes pour cartographier le réseau sans éveiller les soupçons. L’analyse technique menée par Trend Micro a révélé l’usage de logiciels de diagnostic réseau comme advanced_ip_scanner.exe pour identifier les serveurs les plus précieux. Une preuve flagrante de cette intrusion a été découverte sur un serveur FortiGate, où l’outil de scan Nmap avait été directement téléchargé dans le dossier de l’administrateur compromis. Cette méthode permet aux pirates de se fondre dans le trafic normal de l’entreprise avant de passer à l’offensive.

La phase d’attaque du ransomware The Gentlemen proprement dite repose sur une technique d’évasion appelée BYOVD, ou « apportez votre propre pilote vulnérable ». Le ransomware The Gentlemen déploie un pilote informatique authentique mais faillible, tel que ThrottleBlood.sys, pour obtenir un accès profond au cœur du système d’exploitation. À ce niveau, le virus peut arrêter de force les antivirus et les systèmes de détection sans que ces derniers ne puissent se défendre. Pour garantir que l’attaque ne soit pas bloquée par des outils d’analyse automatique, le malware exige la saisie manuelle d’un mot de passe de huit octets lors de son exécution. Une fois activé, il renomme chaque fichier avec l’extension .7mtzhh et dépose une note de rançon intitulée README-GENTLEMEN.txt, tout en prenant soin de supprimer les sauvegardes automatiques de Windows pour empêcher toute restauration simple.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Une franchise criminelle portée par le ransomware The Gentlemen

Sur le plan organisationnel, le groupe fonctionne comme une franchise criminelle, connue sous le nom de Ransomware-as-a-Service (RaaS). Comme le souligne SOCRadar, les créateurs du virus recrutent des complices sur le Dark Web en leur offrant 90% des bénéfices générés par les attaques. Les opérateurs centraux fournissent l’infrastructure technique et le site où les données volées sont exposées, tandis que les affiliés se chargent de l’infiltration des cibles. Ce modèle permet une expansion rapide à travers le globe, touchant des entreprises de toutes tailles, des banques d’investissement aux géants de la construction, en passant par des hôpitaux où l’indisponibilité des services met directement en jeu la sécurité des patients.

La méthode de la double extorsion est le pilier de ce modèle économique du ransomware The Gentlemen. Avant de verrouiller les ordinateurs, les attaquants dérobent des volumes massifs d’informations sensibles. Dans un incident récent lié à l’entreprise Solumek, près de 2 téraoctets de documents ont été exfiltrés via des outils de transfert de fichiers chiffrés pour ne pas être détectés par la surveillance réseau. Ce vol de données sert de levier de pression supplémentaire : si l’entreprise refuse de payer pour débloquer ses serveurs, les pirates menacent de publier ses secrets industriels ou ses listes de clients sur internet. Cette approche transforme une panne technique en une crise de réputation et de conformité réglementaire majeure, forçant souvent les victimes à entrer en négociation avec les cybercriminels.

L’analyse du ransomware The Gentlemen met en lumière la nécessité pour les organisations de renforcer la surveillance de leurs comptes administratifs et de leurs accès distants. Face à des attaquants capables de manipuler les pilotes système et d’utiliser des langages de programmation modernes comme le Go pour gagner en rapidité, la détection basée sur les comportements suspects devient cruciale. La résilience des entreprises dépendra désormais de leur capacité à identifier ces signaux faibles, comme une modification inhabituelle des politiques de groupe ou l’apparition d’outils d’administration sur des postes non autorisés, avant que le processus de chiffrement ne soit amorcé.

Foire aux questions sur la menace The Gentlemen

Qu’est-ce qu’un ransomware et le principe de double extorsion ?

Un ransomware est un logiciel malveillant qui verrouille les données d’une organisation en les rendant illisibles. La double extorsion ajoute un second niveau de chantage : avant de bloquer les fichiers, les pirates volent des informations confidentielles. Ils menacent ensuite de les divulguer publiquement, augmentant la pression sur la victime pour qu’elle paie la rançon afin d’éviter une fuite de secrets industriels ou de données personnelles.

Comment fonctionne le modèle Ransomware-as-a-Service (RaaS) ?

Ce modèle s’apparente à une franchise. Des développeurs experts créent le virus et l’infrastructure technique (le site de paiement, le système de stockage des données volées). Ils louent ensuite cet arsenal à d’autres cybercriminels, appelés affiliés, qui se chargent de l’attaque concrète contre une entreprise. Dans le cas de The Gentlemen, l’affilié conserve la majeure partie des gains, tandis que les créateurs touchent une commission pour la fourniture du logiciel.

De quelle manière les attaquants détournent-ils l’administration système ?

Les pirates n’utilisent pas toujours des virus complexes pour circuler dans un réseau. Ils préfèrent souvent utiliser les outils que les techniciens informatiques utilisent eux-mêmes tous les jours, comme PsExec pour commander des machines à distance ou la modification des « GPO » (les règles globales de l’entreprise). En volant les identifiants d’un administrateur, ils peuvent agir en toute légitimité apparente pour neutraliser les protections et diffuser le ransomware.

Quelles mesures permettent de se protéger efficacement ?

La protection repose sur le verrouillage des accès. Il est indispensable d’utiliser une authentification à plusieurs facteurs (MFA) pour tous les comptes, de mettre à jour tous les composants informatiques, de surveiller les modifications suspectes sur les serveurs centraux et de limiter l’accès à internet des équipements sensibles. Enfin, maintenir des sauvegardes déconnectées du réseau principal reste la seule garantie de pouvoir récupérer ses données sans payer la rançon en cas de succès de l’attaque.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • double extorsion
  • Go
  • malware
  • RaaS
  • ransomware
  • The Gentlemen
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Photographie d'illustration réaliste de l'intérieur d'un salon luxueux dans une villa américaine, montrant un grand téléviseur mural et un ordinateur portable, tous deux affichant une carte du monde connectée. Des flux de données lumineux relient les appareils et les équipements réseau, symbolisant le réseau de proxys résidentiels NetNut créé à partir de téléviseurs connectés et de boîtiers de streaming compromis. L'arrière-plan montre une piscine extérieure et des palmiers sous la lumière du jour.
Lire l'article

Proxys résidentiels : Google et le FBI coupent le réseau NetNut

Gros plan d'un costume élégant et d'une cravate noire, illustrant l'ascension du ransomware The Gentlemen qui bouscule le marché du cybercrime avec son split de rançon inédit à 90%.
Lire l'article

Ransomware The Gentlemen bouscule le marché avec un split à 90%

Illustration pour l'alerte du FBI sur les intrusions physiques dans les bureaux : un individu suspect au visage masqué par un émoji orange se présente à l'accueil d'une entreprise pour usurper l'identité d'un technicien.
Lire l'article

Alerte du FBI : des intrusions physiques dans les bureaux

Des idées de lecture recommandées par DCOD

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois