Ransomware групата TheGentlemen твърди, че е компрометирала ERG Otoyol Yatırım ve İşletme A.Ş. – компанията зад проекта за автомагистралата Анкара – Нигде в Турция. Информацията се появи в Ransom Feed на 12 февруари 2026 г., като атаката е идентифицирана с хеш:
21f2d8e15bbe775e30e7432e386b77e106e0cc1d212560ba4720ecf4892ab960.

Към момента няма публично официално потвърждение от страна на компанията.

Какво е известно до момента

Според публикуваната информация:

• Жертва: ERG Otoyol (ergotoyol.com.tr)

• Група: TheGentlemen

• Тип заплаха: Ransomware

• Дата на публикация: 12 февруари 2026 г.

• Тактика: вероятен модел на двойно изнудване – криптиране плюс заплаха за публикуване на данни

Подобни публикации в ransomware leak сайтове обикновено имат за цел да окажат публичен натиск върху жертвата. В много случаи компаниите не потвърждават веднага инцидента поради текущо разследване или процес на реакция при инцидент.

Коя е групата TheGentlemen

TheGentlemen е сравнително нов, но бързо ескалиращ играч в ransomware екосистемата. Групата се появи през 2025 г. и започна активно да публикува жертви в различни сектори – производство, финанси, логистика и инфраструктура.

Характеристики на групата:

• Използване на Ransomware-as-a-Service модел

• Прилагане на dual extortion стратегия

• Публично излагане на жертви в собствен leak портал

• Насочване към организации с критична или инфраструктурна значимост

Атаките им често комбинират кражба на данни преди криптиране, което увеличава натиска върху организациите.

Защо инфраструктурният сектор е стратегическа цел

ERG Otoyol управлява ключова пътна инфраструктура в Турция. Макар да няма данни за прекъсване на пътни услуги, подобни инциденти повдигат сериозни въпроси относно:

• Сигурността на OT и IT системите

• Защитата на договорна и финансова информация

• Управлението на тол системи и свързани данни

• Рисковете от оперативни прекъсвания

Инфраструктурните оператори са особено привлекателни за ransomware групи, тъй като:

1. Притежават чувствителни договорни и финансови данни

2. Поддържат непрекъсваеми услуги

3. Са под регулаторен и обществен натиск

Това увеличава вероятността за плащане на откуп.

Какво не е потвърдено

Към момента няма информация за:

• Реално криптиране на системи

• Изтегляне или публикуване на данни

• Финансови искания

• Разследване от турските власти

• Официално изявление от ERG Otoyol

Важно е да се отбележи, че публикация в ransomware leak сайт не винаги означава пълна компрометация. В някои случаи става дума за ограничен достъп или непотвърдени твърдения.

По-широкият контекст – ескалация през 2026 г.

2026 г. започва с повишена активност на ransomware групи, насочени към:

• Транспортни оператори

• Енергийни компании

• Държавни и общински структури

• Големи инфраструктурни проекти

Тенденцията показва ясно изместване към критична инфраструктура, където потенциалният натиск е максимален.

Какви рискове възникват при подобни инциденти

Ако атаката бъде потвърдена, потенциалните последствия могат да включват:

• Оперативни прекъсвания

• Финансови загуби

• Изтичане на договорни и лични данни

• Репутационни щети

• Регулаторни санкции

За организации в инфраструктурния сектор това означава необходимост от:

• Сегментация между IT и OT среди

• Zero Trust архитектура

• Непрекъснат мониторинг и EDR/XDR решения

• Редовно тестване на резервни копия

• Проактивен Dark Web мониторинг

Скрийншот от лийк сайта на групата

Твърдението за атака срещу ERG Otoyol от страна на TheGentlemen поставя пореден акцент върху нарастващия риск за инфраструктурните оператори. Дори при липса на официално потвърждение, подобни публикации са сигнал за активна и агресивна ransomware екосистема.

Предстои да стане ясно дали инцидентът ще бъде официално потвърден и какви ще бъдат реалните последици. Междувременно случаят е още едно напомняне, че критичната инфраструктура остава приоритетна цел за киберпрестъпните групи през 2026 г.