СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ

Gentlemen: самораспространяющийся RaaS-шифровальщик с двойным вымогательством

Группа Gentlemen представляет собой серьезную киберугрозу, сочетающую надежные возможности шифрования, агрессивные техники перемещения внутри компании и выраженную ориентацию на double extortion. По данным отчета, эта активность действует по модели RaaS (ransomware-as-a-service) и управляется финансово мотивированным злоумышленником Storm-2697.

Судя по описанию, кампания появилась в середине 2025 года и первоначально работала как закрытая группа. В сентябре 2025 года она перешла к партнерской модели, что обычно расширяет круг участников и повышает масштаб атак.

Как работает Gentlemen

Gentlemen связывают с тактикой double extortion: вредоносное ПО не только шифрует файлы, но и похищает конфиденциальные данные. Затем злоумышленники используют угрозу публичного разглашения как дополнительный рычаг давления на жертв, если требования выкупа не будут выполнены.

В отчете отмечается, что вредонос написан на Go и обфусцирован с помощью Garble. Для шифрования используются Curve25519 в сочетании с XChaCha20, а после завершения атаки файлы получают характерное расширение .umc16h.

Техники проникновения и распространения

Одной из наиболее опасных особенностей Gentlemen является механизм самораспространения. Он позволяет превратить шифровальщик в угрозу червеобразного типа, что значительно повышает риск быстрого заражения нескольких систем в одной сети.

Для перемещения внутри компании используются разные методы выполнения, включая:

  • создание запланированных задач;
  • использование PsExec для сетевого распространения;
  • подготовку зараженной машины как точки дальнейшего распространения;
  • использование общего административного доступа, чтобы другие системы могли подключаться и извлекать вредоносное ПО.

Такая архитектура делает атаки более устойчивыми и увеличивает вероятность компрометации нескольких узлов одновременно.

Шифрование и воздействие на инфраструктуру

Механизм шифрования адаптируется к размеру файла. Небольшие файлы шифруются полностью, тогда как большие обрабатываются частично — путем разбиения на фрагменты. Это нарушает структуру данных и усложняет восстановление.

При этом вредоносное ПО стремится минимизировать сбои в работе операционных систем: оно исключает из шифрования критические каталоги и типы файлов. Такой подход позволяет сохранить работоспособность части инфраструктуры, но одновременно повышает эффективность вымогательства, поскольку жертва быстрее сталкивается с последствиями атаки.

При запуске в каждом затронутом каталоге создается файл с требованием выкупа README-GENTLEMEN.txt, который направляет жертву через процесс оплаты.

Уклонение от обнаружения и затруднение восстановления

Gentlemen применяет широкий набор мер для сокрытия своей активности. Среди них:

  • отключение Microsoft Defender;
  • удаление теневых копий томов;
  • очистка журналов событий.

Эти действия одновременно осложняют восстановление данных и затрудняют криминалистический анализ, лишая специалистов важных артефактов атаки.

Кроме того, при запуске с определенным аргументом командной строки вредоносное ПО может выполнять процедуру стирания, которая перезаписывает участки диска. Это препятствует восстановлению удаленных файлов и еще сильнее усложняет анализ инцидента.

Закрепление в системе

Для сохранения присутствия в скомпрометированной среде Gentlemen использует сразу несколько механизмов закрепления. В частности, речь идет о:

  • запланированных задачах;
  • изменениях в registry, предназначенных для автоматического запуска после перезагрузки.

В совокупности эти техники обеспечивают повторный запуск вредоносного ПО и повышают вероятность того, что атака сохранится даже после перезагрузки системы.

Вывод: Gentlemen — это не просто очередной ransomware, а многофункциональная угроза с самораспространением, встроенными механизмами сокрытия и сильным давлением на жертв через double extortion. Такой набор возможностей делает группу особенно опасной для корпоративных сетей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: