Gentlemen: новая ransomware-группа атакует FortiGate и EDR

The Gentlemen (Storm-2697): стремительный взлет вымогательской группировки с инструментом GentleKiller

Всего за год после появления в середине 2025 года группировка Gentlemen, отслеживаемая Microsoft как Storm-2697, атаковала свыше 500 организаций в более чем 70 странах, заняв порядка 10% всех инцидентов с ransomware в мире. Ее ключевое оружие — проприетарный набор инструментов GentleKiller, способный нейтрализовать более 400 процессов EDR и антивирусной защиты.

От внутреннего спора в Qilin до независимой империи

Корни группы уходят к оператору под псевдонимом hastalamuerte, ранее возглавлявшему пул аффилиатов в рамках программы Qilin Ransomware-as-a-Service (RaaS). Именно спор внутри этой экосистемы привел к выделению Storm-2697 в самостоятельного игрока. Сегодня группировка действует по строгим правилам, исключающим цели в странах СНГ, и представляет собой компактный, тесно сплоченный круг операторов и аффилиатов, что позволяет быстро масштабировать операции.

GentleKiller: арсенал для отключения более 400 процессов безопасности

Центральным элементом атак The Gentlemen является проприетарный набор утилит GentleKiller. В его состав входят инструменты, целенаправленно разработанные для завершения работы широкого спектра средств конечной защиты (EDR) и антивирусов. По оценкам, инструментарий способен принудительно останавливать свыше 400 различных процессов, связанных с продуктами множества вендоров безопасности, что дает группе значительное преимущество в уклонении от обнаружения.

Как они проникают: уязвимые FortiGate и захват домена

Первоначальный доступ The Gentlemen получают путем систематической эксплуатации уязвимостей в обращенных к интернету устройствах безопасности, в первую очередь — в VPN-решениях FortiGate. Группировка поддерживает значительный инвентарь скомпрометированных устройств и применяет инструменты credential harvesting для эксплуатации открытых порталов. После получения точки опоры злоумышленники повышают привилегии до уровня администратора домена, активно используя техники обхода защитных решений, где GentleKiller играет ключевую роль.

Затем вредоносное ПО демонстрирует поведение, сходное с червём (worm-like self-propagation), перемещаясь по сети жертвы. Для распространения на другие хосты используются методы Remote File Copy и утилита PsExec.

Двойной удар: эксфильтрация и Go-шифровальщик

Перед началом шифрования группировка выполняет масштабную эксфильтрацию данных: зафиксированы случаи передачи значительных объемов информации на внешние ресурсы. Сам процесс шифрования реализован с помощью написанного на Go инструмента, использующего криптографические техники, нацеленные на различные файловые системы.

После завершения шифрования злоумышленники создают запланированные задачи для закрепления в системе, размещают в директориях ransom notes и массово удаляют теневые копии вместе с журналами, чтобы замести следы.

Кого атакуют: отрасли и региональные приоритеты

The Gentlemen отдают предпочтение критически важным секторам: производство, здравоохранение и финансы входят в число основных целей. При этом группировка целенаправленно избегает организаций, ориентированных на США, сосредотачивая усилия на Юго-Восточной Азии, Южной Америке и Западной Европе. Такой географический разброс в сочетании с операционной дисциплиной усложняет отслеживание активности.

Неотложные контрмеры

В условиях быстрой эволюции Storm-2697 эксперты рекомендуют немедленно реализовать комплекс защитных мер:

  • Установить исправления для критических уязвимостей в FortiOS;
  • Внедрить многофакторную аутентификацию на всех внешних интерфейсах;
  • Усилить сегментацию сети и ограничить права доступа;
  • Обеспечить надежную защиту резервных систем, включая их изоляцию от основной сети;
  • Постоянно мониторить аномальную активность, связанную с использованием PsExec и подобных утилит.

Стремительный рост числа атак и сложность используемых техник делают The Gentlemen одной из самых опасных вымогательских группировок сегодняшнего дня.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: