Ransomware Gentlemen. Un nom qui détonne. Pourtant, ce groupe est l’un des plus redoutables de 2026. Apparu fin 2025, ce gang de ransomware Gentlemen EDR a déjà revendiqué 504 victimes dans le monde entier. Leur spécialité ? Désactiver votre antivirus avant même de lancer le chiffrement. Proprement. Chirurgicalement.
Voici pourquoi ça vous concerne, même si vous n’avez jamais entendu parler d’EDR. En réalité, cette menace touche tout le monde.
Ransomware Gentlemen EDR : comment ça fonctionne vraiment ?
Un EDR, c’est votre logiciel de sécurité avancé. On pense notamment à CrowdStrike, ESET, Microsoft Defender ou encore Sophos. Autrement dit, ce sont les gardiens invisibles de votre réseau. Concrètement, ils détectent les attaques en temps réel et les bloquent avant qu’il soit trop tard.
Gentlemen a compris que le problème numéro un de tout attaquant, c’est précisément cet EDR. Par conséquent, ils ont créé GentleKiller, un arsenal interne conçu spécialement pour neutraliser ces systèmes. Ainsi, GentleKiller existe en huit variantes différentes. Il cible plus de 400 processus liés à 48 produits de sécurité distincts.
La technique utilisée s’appelle BYOVD (Bring Your Own Vulnerable Driver). En français, cela signifie exploiter un pilote logiciel légitime mais vulnérable pour s’infiltrer dans le système. Ainsi, Windows lui-même fait confiance au pilote. Et le hacker s’y glisse discrètement. C’est délicat, invisible et particulièrement efficace.
Ce qu’ils ont vraiment volé : l’ampleur des dégâts
504 victimes revendiquées en quelques mois. Ce ne sont pas que des grands groupes. Des PME, des communes, des entreprises françaises y figurent. Voici ce que les chercheurs ont identifié :
- 504 victimes mondiales revendiquées (juin 2026)
- Présence confirmée en France, Brésil, Thaïlande, Asie du Sud-Est et Amérique du Sud
- Victimes françaises : Amigest, Cofaq, Constructions Piraino, ITD System, Cleor et la commune du Perreux-sur-Marne
- Outil de vol de données : OxideHarvest (stealer en Rust, vole les données des navigateurs)
- Double extorsion : chiffrement des fichiers et menace de publier les données volées
- Modules de chiffrement écrits en Go (Windows/Linux) et en C (VMware ESXi)
En effet, la présence de communes françaises sur la liste est un signal fort. Les collectivités locales sont des cibles privilégiées, car elles paient souvent. De plus, leur niveau de protection est trop souvent insuffisant face à ce type de menace.
Qui est derrière le ransomware Gentlemen ?
Le groupe fonctionne en mode RaaS (Ransomware-as-a-Service). Autrement dit, il loue son infrastructure à des affiliés. Ces derniers lancent les attaques pendant que Gentlemen fournit les outils. Ainsi, tout le monde partage les rançons. C’est un véritable modèle commercial du crime.
Le leader présumé de l’opération est un ressortissant russe de 36 ans nommé Alexander Andreevich Yapaev, alias hastalamuerte. Il dirige activement le développement des modules de chiffrement et du framework GentleKiller. Néanmoins, aucune arrestation n’a été annoncée à ce jour.
Selon l’analyse détaillée de The Hacker News, Gentlemen intègre également des outils tiers dans son arsenal : HexKiller, ThrottleBlood et HavocKiller. Chacun est conçu pour contourner une famille spécifique de solutions de sécurité.
Pourquoi GentleKiller change les règles du jeu
Avant, les gangs devaient se débrouiller seuls pour trouver des outils d’attaque. Chaque affilié achetait ses propres logiciels malveillants. Or, Gentlemen a inventé quelque chose de nouveau : un catalogue complet, intégré, maintenu et mis à jour en permanence. C’est donc la professionnalisation du ransomware à son stade ultime.
De plus, GentleKiller se déguise en logiciel légitime. Il copie les icônes, vole les signatures numériques et se fait passer pour un éditeur de sécurité connu. Par conséquent, Windows ne le soupçonne pas. Votre antivirus non plus. C’est pourquoi les entreprises les mieux protégées ne sont pas à l’abri. La menace s’attaque directement à la couche la plus profonde du système.
Comment se protéger face à GentleKiller et Gentlemen
Les conseils classiques ne suffisent plus. Cependant, quelques réflexes concrets réduisent drastiquement l’exposition :
- Bloquez les pilotes non signés ou vulnérables via les politiques Windows (Windows Defender Credential Guard, HVCI). La technique BYOVD exploite des pilotes légitimes mais obsolètes.
- Maintenez votre EDR à jour et surveillez ses alertes de falsification (tamper protection). Si un processus tente de l’éteindre, c’est une alerte critique.
- Segmentez votre réseau. Ainsi, une infection isolée sur un segment ne peut pas se propager à l’ensemble du système d’information.
- Sauvegardez régulièrement sur un support hors ligne ou immuable (règle 3-2-1). C’est votre seule véritable assurance contre le chiffrement.
- Corrigez immédiatement les vulnérabilités des équipements exposés (FortiGate, etc.). En effet, Gentlemen cible en priorité les mauvaises configurations publiques.
Aucune protection n’est absolue. Toutefois, empiler les obstacles force les attaquants à chercher une cible plus facile ailleurs.
Et demain ? Ce que Gentlemen annonce pour le ransomware
Gentlemen n’est pas une anomalie. C’est un signal clair. En effet, le ransomware devient une industrie structurée, avec des équipes de développement, des catalogues d’outils et des affiliés spécialisés. Par conséquent, les défenseurs doivent penser comme des attaquants. Plus vite. Plus profond. La course aux armements cyber s’accélère, et les prochains outils seront encore plus furtifs.
Vous avez un pare-feu FortiGate ? Or, Gentlemen cible justement les mauvaises configurations de ce type d’équipement. Lisez donc notre analyse sur la fuite FortiBleed qui a exposé 73 000 pare-feux Fortinet dans le monde pour comprendre pourquoi les passerelles VPN sont devenues la porte d’entrée privilégiée des ransomwares.