一个名为‘绅士’的网络犯罪团伙已成为按受害者数量计算的第二活跃勒索软件团伙，通过一种激进的招募策略快速吸引了大量有才华的黑客，承诺给予附属伙伴90%的受害者支付的赎金。本文探讨了指向‘绅士’勒索软件团伙管理者真实身份的线索。2026年5月，‘绅士’勒索软件团伙管理者Hastalamuerte在Breachforums上创建并分享的一幅图形。图片来源：ke-la.com。安全公司Check Point Software的专家们一直密切关注‘绅士’的利用情况，这是一个所谓的“勒索软件即服务”（RaaS）产品，付给附属人员丰厚的报酬以帮助传播该团伙的恶意软件。“90/10的附属收益分配——与行业标准80/20相比——正在通过吸引来自竞争项目的有经验的运营者加速该团伙的增长，”研究人员在四月写道。Check Point发现‘绅士’目前是今年按受害者数量计算的第二活跃勒索软件团伙，自2025年中以来，该团伙声称至少有332名已公布的受害者，2026年 alone 超过240名。根据Check Point的说法，该团伙将Internet-facing设备（VPN、防火墙）作为其进入点，并一旦进入，迅速在数小时内加密整个网络。Check Point表示，勒索软件团伙的管理员和主要运营者在俄语网络犯罪论坛上使用昵称Zeta88，并且这个人之前以Hastalamuerte为名。Check Point指出，团伙后端基础设施的被入侵明确表明Hastalamuerte/Zeta88是负责组装锁和RaaS面板、管理付款的人，实质上是整个程序的管理员，收到所有赎金的10%。HASTALAMUERTE是谁？网络情报公司Intel 471显示，用户Hastalamuerte是一个说俄语和英语的人，2019年至今在将近十个网络犯罪论坛上注册，包括Exploit、Breachforums、Ramp_V2、BHF、Raidforums和Nulled。Intel 471透露，Hastalamuerte于2025年1月在Breachforums上注册，来自俄罗斯乌德穆尔特共和国首府伊热夫斯克的一个网络地址。同样，用户Zeta88于2022年8月在英语网络犯罪论坛Breached上注册，来自伊热夫斯克的另一个网络地址。Intel 471发现Hastalamuerte在2020年使用电子邮件地址hastalamuerte1488@protonmail.com在Raidforums上注册（1488是与白人至上主义相关的两个数字符号的常见组合）。在开源情报服务Epieos对该地址的查找显示，它与Apple的一个账户及一个以04结尾的电话号码有关。Epieos称，该Protonmail地址也与GitHub账户关联，该用户名为SantaMuerte。该账户标记为私人，但该用户的活动历史表明他们正在查看和开发多种恶意软件工具和利用。在2020年4月，Hastalamuerte在犯罪论坛Nulled上表示可以通过Telegram即时通讯名称@hastalamuerte18联系，威胁情报公司Flashpoint发现此用户名被分配了唯一的Telegram ID号码30907522（完全披露：Flashpoint是本博客的广告商）。入侵追踪服务Constella Intelligence报告称，Hastalamuerte的Telegram ID与另一个用户名“bu4vs”以及俄罗斯电话号码79127650004有关。在Constella中对该电话号码进行的轮询获取了多个来自被黑俄罗斯政府数据库的记录，显示该号码分配给一名名为Alexander Andreevich Yapaev的36岁居民，来自伊热夫斯克。Constella透露，该电话号码被用于在俄罗斯社交媒体平台Pikabu上创建账户，名称为“4apai18”，并显示Yapaev先生在多个网站上使用了常见姓氏Ivanov或“Chapaev”（数字4在俄语中常用作“ch”的简写）。在Intel 471中对昵称SantaMuerte的网络犯罪论坛成员进行搜索发现，2020年在俄罗斯黑客论坛Codeby上创建了一个同名账户。Intel 471显示该用户最初在Codeby上注册，使用的昵称为不太微妙的Alexandr 4apaev。Constella发现Yapaev先生经常使用邮件地址bu4vs@mail.ru。与此同时，Epieos显示该地址与名为Alexander Yapaev的LinkedIn账户有关，他自称是俄罗斯最大电气技术和照明产品供应商之一Uralenergo Udmurtia的B2B营销负责人。Yapaev先生并未对多次请求置评作出回应。几乎每次发布这些Breadcrumbs故事时，读者都好奇，为什么似乎如此多的网络犯罪分子来自俄罗斯，显然没有多加隐藏他们的现实身份。真相是