Расследование выявило предполагаемого администратора одной из самых активных групп вымогателей, действующей по модели "ransomware-as-a-service".
Эксперты по кибербезопасности установили личность предполагаемого администратора хакерской группы The Gentlemen. Группа специализируется на программах-вымогателях и является второй по активности в мире, привлекая киберпреступников обещанием 90% от выкупа.
Администратор, использующий никнейм Zeta88 на русскоязычных форумах, ранее был известен под псевдонимом Hastalamuerte. Он отвечает за сборку вредоносного ПО, управление панелью "ransomware-as-a-service" (RaaS) и обработку платежей, получая 10% от всех выкупов.
Исследователи выяснили, что Hastalamuerte — русскоязычный пользователь, зарегистрированный на киберпреступных форумах с 2019 года. В январе 2025 года он зарегистрировался на Breachforums с IP-адреса, связанного с Ижевском.
Пользователь Zeta88 зарегистрировался на англоязычном форуме Breached в августе 2022 года также из Ижевска. Анализ электронной почты, связанной с аккаунтом Hastalamuerte, указывает на связь с аккаунтом Apple и номером телефона, заканчивающимся на 04.
Сервис Constella Intelligence связал Telegram ID администратора с никнеймом "bu4vs" и российским номером телефона 79127650004. Согласно данным из взломанных российских баз данных, этот номер принадлежит Александру Андреевичу Япаеву, 36-летнему жителю Ижевска.
Constella также показывает, что этот номер использовался для создания аккаунта на платформе Pikabu под именем "4apai18". Александр Япаев использовал электронный адрес bu4vs@mail.ru, который связан с его профилем в LinkedIn, где он указан как руководитель отдела B2B-маркетинга в компании "Уралэнерго Удмуртия".
Администратор The Gentlemen использует искусственный интеллект для разработки и поддержки программ-вымогателей, а также для пост-эксплуатационной деятельности.
