TheGentlemen Ransomware: RaaS Baru yang Kuasai 10% Korban Global 2026, Kemenkes Kroasia hingga Museum Nasional Denmark Jadi Target
Pada 8 Juni 2026, grup ransomware bernama TheGentlemen mengunggah 12 nama organisasi ke dark web leak site mereka dalam satu hari. Sepekan kemudian, 8 Juni itu terbukti bukan puncak. Tanggal 15 Juni 2026, mereka mengumumkan 20 korban baru di 14 negara sekaligus. Yang paling mencengangkan: Kementerian Kesehatan Kroasia dan Museum Nasional Denmark ikut dalam daftar korban.

Geliat RaaS Paling Produktif Sepanjang 2026
TheGentlemen adalah ransomware-as-a-service (RaaS) yang mulai terlihat di radar intelijen sejak September 2025. Dalam waktu kurang dari setahun, mereka naik ke peringkat kedua sebagai grup ransomware paling produktif di 2026 berdasarkan jumlah korban yang dipublikasikan. Hanya Qilin yang berada di atas mereka.
📊 Skala TheGentlemen per 13 Juni 2026
483 total korban di dark web leak site mereka
380 di antaranya diumumkan sepanjang 2026 saja
~10% dari seluruh korban ransomware global 2026
#2 grup ransomware paling produktif tahun ini
Angka-angka ini berasal dari data Ransomtracker yang dikumpulkan Ransomnews dan KELA Cyber Intelligence Center. KELA menyebut TheGentlemen berhasil menguasai 10% dari seluruh korban ransomware global yang tercatat dari Januari hingga pertengahan Mei 2026.
Satu hal yang membedakan TheGentlemen dari grup ransomware lain: internal mereka bocor. Pada 4 Mei 2026, seseorang dengan handle XxHDSandwichxX mengiklankan data internal TheGentlemen di forum Exploit.in. Harganya 10.000 BTC untuk full dataset. Akun tersebut kemudian di-banned, dan sampel chat mulai bocor pada 6 Mei 2026.
Bocoran Internal: Sembilan Orang di Belakang Layar
Analisis KELA terhadap chat internal yang bocor mengungkap struktur operasi TheGentlemen. Data tersebut mencakup hampir enam bulan komunikasi, dari 7 November 2025 hingga 30 April 2026. Isinya bukan drama kriminal seperti yang mungkin dibayangkan, melainkan percakapan tim produk kecil yang berdebat tentang infrastruktur, algoritma enkripsi, dan model bahasa besar mana yang paling efektif untuk dipakai.
“The leaked chats read less like a criminal conspiracy than a small product team arguing about infrastructure, encryption routines, and which large language model to use.”
– KELA Cyber Intelligence Center, Mei 2026
Tim inti TheGentlemen terdiri dari sekitar sembilan orang. Administrator utama adalah seseorang dengan handle zeta88 yang mengelola backend dan locker. Seorang initial-access broker bernama hastalamuerte bertugas sebagai pemasok akses awal ke jaringan korban. Sisanya adalah operator intrusi dan kontributor tooling.
Model bisnis mereka menggunakan skema afiliasi klasik dengan split 90/10 untuk afiliasi. Afiliasi mendapat 90% dari tebusan, TheGentlemen mengambil 10%. Ini adalah angka yang agresif bahkan untuk standar RaaS yang sangat kompetitif.
Dua Gelombang Besar: 8 Juni dan 15 Juni 2026
TheGentlemen mencatat dua peristiwa signifikan dalam waktu satu minggu yang menunjukkan kapasitas operasi mereka dalam skala industri.
| Tanggal | Jumlah Korban | Negara | Korban Paling Signifikan |
|---|---|---|---|
| 8 Juni 2026 | 12 | 8 negara | Central Arkansas Pediatrics (AS), The Clinic (UK) |
| 15 Juni 2026 | 20 | 14 negara | Kemenkes Kroasia, Museum Nasional Denmark, universitas di Polandia |
Pada gelombang pertama, 8 Juni 2026, TheGentlemen menargetkan organisasi di lima benua: Amerika Serikat, Inggris, Irlandia, Taiwan, Hong Kong, Argentina, Rusia, dan Spanyol. Dua rumah sakit anak di AS dan klinik di Inggris menjadi sorotan karena data kesehatan yang dicuri berada di bawah perlindungan hukum HIPAA (AS) dan NHS (Inggris).
Gelombang kedua pada 15 Juni 2026 membawa dampak lebih besar. Kementerian Kesehatan Kroasia (Ministarstvo zdravstva Republike Hrvatske) adalah institusi pemerintah yang bertanggung jawab atas sistem kesehatan nasional, pengadaan farmasi, dan data kesehatan seluruh populasi Kroasia. Breach di sini berarti data pasien, database administrasi, informasi staf, hingga komunikasi kebijakan kesehatan nasional terekspos.
🔴 Kenapa Kemenkes dan Museum Jadi Target Besar?
Grup ransomware menargetkan institusi pemerintah karena tekanan publik dan urgensi pemulihan layanan membuat pemerintah lebih mungkin membayar tebusan atau memiliki anggaran khusus untuk insiden siber. Museum nasional menyimpan data arkeologis, koleksi digital, dan catatan donatur yang sulit atau tidak mungkin direkonstruksi, membuat data tersebut sangat bernilai untuk dinegosiasikan.
Museum Nasional Denmark (Nationalmuseet) membawa dimensi lain. Museum ini menyimpan koleksi sejarah digital, data arkeologis, catatan donatur, dan dokumen administrasi institusi budaya negara. Data seperti ini sulit atau mustahil diganti dan memiliki signifikansi publik yang melampaui nilai institusionalnya.
Serangan ke Thailand: Bukti TheGentlemen Sudah di Asia Tenggara
TheGentlemen bukan sekadar ancaman di Eropa dan Amerika. Pada 11 Februari 2026, Universitas Thammasat di Thailand masuk dalam daftar korban. Serangan terhadap universitas negeri terbesar di Thailand ini membuktikan bahwa jangkauan TheGentlemen sudah mencapai Asia Tenggara. Dan dari Thailand ke Indonesia, jaraknya tipis.
Ancaman ini relevan bagi Indonesia. Data BSSN menunjukkan lonjakan 312% serangan siber terhadap infrastruktur digital Indonesia sepanjang 2025. Laporan Kaspersky Asia Tenggara Q1 2026 menempatkan Indonesia di peringkat ketiga dalam jumlah insiden ransomware di Asia Tenggara dengan rata-rata 47.000 percobaan serangan per hari. Sektor yang paling rentan adalah kesehatan, pendidikan, dan UMKM.
LockBit 3.0 pernah melumpuhkan Bank Syariah Indonesia pada 2023. Serangan ransomware terhadap Pusat Data Nasional Sementara (PDNS) pada 2024 membuat layanan imigrasi dan PPDB terganggu. Politeknik Negeri Sriwijaya juga menjadi korban ransomware pada 2025. Jika TheGentlemen sudah aktif di Thailand, bukan tidak mungkin Indonesia akan menjadi target berikutnya.
Bagaimana TheGentlemen Bekerja
Analisis KELA terhadap bocoran internal TheGentlemen mengungkapkan tiga pilar utama operasi mereka.
Pertama, credential-based intrusion. TheGentlemen tidak mengandalkan exploit zero-day yang mahal dan sulit ditemukan. Mereka menggunakan kredensial yang dicuri oleh infostealer untuk mendapatkan akses awal ke jaringan korban. Ini adalah pendekatan yang sama dengan Black Basta dan beberapa grup RaaS besar lainnya. Kredensial yang dicuri tetap valid bahkan 48 jam setelah repo malware ditakedown.
Kedua, AI-assisted tooling. TheGentlemen menggunakan large language model (LLM) yang mereka sebut “Abliterated” untuk membantu reconnaissance, menulis skrip otomatis, dan bahkan membantu negosiasi tebusan. Ini bukan lagi ancaman masa depan, ini sudah terjadi sekarang. Ransomware yang “berpikir” menggunakan AI untuk mempelajari pola kerja korban sebelum menyerang.
“AI-assisted ransomware dapat diam-diam mempelajari pola kerja korban – jam berapa file penting disimpan, siapa yang memiliki akses admin, dan kapan tim IT tidak bertugas – sebelum melancarkan serangan pada momen paling rentan.”
– COC Komputer, Laporan Keamanan Siber Indonesia 2026
Ketiga, Black Basta playbook reuse. Bocoran chat menunjukkan TheGentlemen mempelajari dan mengadaptasi playbook dari grup ransomware Black Basta yang internalnya juga bocor pada Februari 2025. Taktik initial access seperti OWA (Outlook Web Access) abuse dan email-based extortion diadopsi langsung dari playbook Black Basta. Ini menunjukkan ekosistem ransomware modern saling terhubung: satu grup bocor, grup lain belajar.
Mitigasi yang Harus Dilakukan Sekarang
TheGentlemen adalah ancaman nyata yang sudah terbukti bisa menembus institusi pemerintah, rumah sakit, dan universitas di 14 negara. Berikut langkah mitigasi yang perlu diterapkan oleh organisasi di Indonesia:
- Audit kredensial secara berkala – Karena TheGentlemen menggunakan kredensial curian dari infostealer sebagai vektor awal, pastikan tidak ada kredensial bocor di dark web. Gunakan password manager dan aktifkan multi-factor authentication (MFA) di semua layanan. Jangan gunakan password yang sama untuk akun berbeda.
- Segmentasi jaringan dan backup immutabel – Ransomware double extortion menggabungkan enkripsi file dengan eksfiltrasi data. Segmentasi jaringan bisa membatasi penyebaran enkripsi. Backup immutabel (tidak bisa diubah atau dihapus) memastikan organisasi bisa memulihkan data tanpa membayar tebusan. Aturan 3-2-1: tiga salinan data, di dua media berbeda, satu di lokasi terpisah.
- Pantau exposed remote management interfaces – TheGentlemen dan afiliasinya kerap mengeksploitasi layanan remote management yang terekspos ke internet seperti ConnectWise ScreenConnect (CVE-2024-1708). Nonaktifkan atau batasi akses RDP, SSH, dan VPN hanya dari IP yang dikenal. Gunakan jump box atau bastion host untuk akses administratif.
- Integrasikan threat intelligence – Pantau indicator of compromise (IOCs) terbaru dari sumber seperti CISA, BSSN, dan platform intelijen ancaman. TheGentlemen menggunakan credit card decline, vishing, dan QR code phishing (quishing) sebagai metode initial access. Edukasi karyawan untuk waspada terhadap teknik social engineering ini.
Dari Leak ke Pelajaran: Yang Bisa Dipelajari
Bocoran internal TheGentlemen memberikan peluang langka bagi komunitas keamanan siber global. Sekitar 16 GB data operasional termasuk komunikasi internal, tooling, dan data administrasi kini ada di tangan peneliti keamanan. Ini membuka jendela ke dalam cara kerja RaaS modern yang sebelumnya tertutup rapat.
Tapi kebocoran ini juga mengirim pesan yang mengkhawatirkan. TheGentlemen tetap aktif dan terus menambah korban baru setiap minggu meskipun internal mereka sudah bocor. Bahkan setelah identitas anggota inti terekspos dan tooling mereka dianalisis publik, operasi mereka tidak berhenti. Ini menunjukkan bahwa model RaaS sangat resilient: satu grup bisa terungkap, tetapi infrastruktur dan afiliasi bisa bertahan.
Untuk Indonesia, ancaman ransomware bukan lagi soal “jika” tapi “kapan”. Dengan BSSN yang terus memperkuat kerja sama nasional dan internasional, ditambah kesadaran sektor swasta yang meningkat, masih ada ruang untuk memperkuat pertahanan. Tapi waktu tidak berpihak pada yang lambat. Setiap organisasi harus menganggap serius langkah mitigasi sekarang, sebelum nama mereka muncul di leak site berikutnya.
Kesimpulan
Baca Juga
BACA_JUGA_LAINNYA
CRS AS Uji Coba AI untuk Ringkas RUU, Kurang dari 3% Hasilnya Layak Pakai
30 Juni 2026
Insider Trading di Polymarket, Eks-Security Engineer Google Raup Rp19 Miliar Pakai Data Internal
30 Juni 2026
Operation Poisson: Kisah Remaja Prancis yang Menyusup ke 4 Sistem dengan OpenSSH dan Tailscale
29 Juni 2026