СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.12.2025
#ИБ

The Gentlemen: двойное вымогательство, XChaCha20 и BYOVD

Программа‑вымогатель The Gentlemen, выявленная примерно в августе 2025 года, действует по модели двойного вымогательства: злоумышленники не только шифруют данные, но и эксфильтрируют их для последующего давления на жертву. Анализ поведения вредоноса показывает сочетание традиционных и современных приемов, характерных для целенаправленных атак на корпоративную инфраструктуру.

Ключевые факты

  • Выявление: примерно август 2025 года.
  • Модель действия: двойное вымогательство (data exfiltration + шифрование).
  • Язык реализации: Go.
  • Неясен статус распространения как RaaS — признаков ребрендинга или субгрупп не обнаружено.

Тактика, техники и процедуры (TTP)

The Gentlemen использует ряд мощных приемов для увеличения шансов успешной компрометации и снижения вероятности обнаружения:

  • Модификация объектов групповой политики — GPO — и применение неподписанных драйверов через практику Bring Your Own Vulnerable Driver (BYOVD).
  • Проверки окружения и ограничение функциональности на основе паролей/параметров выполнения, что позволяет злоумышленникам управлять таргетингом и режимом работы рансомвара.
  • Отключение защитных механизмов: блокировка Windows Defender и остановка критичных сервисов резервного копирования (например, Veeam), а также баз данных (MSSQL, MongoDB).
  • Очистка логов и следов активности для затруднения расследования и последующего обнаружения.

Аргументы командной строки и управление

При запуске The Gentlemen анализирует аргументы командной строки, что позволяет атакующим задавать:

  • список целевых файлов/каталогов;
  • параметры производительности (параллелизм, throttling);
  • режимы работы (например, только эксфильтрация, только шифрование или оба одновременно).

Такая гибкость облегчает адаптацию вредоноса к различным средам и целям.

Криптография и механизм шифрования

Криптографическая схема The Gentlemen сочетает современные асимметричные и симметричные алгоритмы:

  • Установление общего секрета с использованием X25519 — общий секрет выводится на основе случайно сгенерированного значения.
  • Шифрование файлов реализовано с помощью потокового шифра XChaCha20, где для каждого файла генерируется уникальный ключ и одноразовый номер (nonce).
  • Подход обеспечивает высокую стойкость шифрования и уникальность криптографических параметров для каждого зашифрованного файла.

Поведение после шифрования

После завершения шифрования The Gentlemen выполняет несколько типичных для программ‑вымогателей действий:

  • Изменяет фоновый рисунок рабочего стола на зараженных системах.
  • Создает в каждом зашифрованном каталоге файл требований выкупа с именем README-GENTLEMEN.txt, который служит основным каналом связи с жертвами.

«Группа использует модель двойного вымогательства, эксфильтруя и шифруя данные, а затем требует выкуп, опираясь на украденную информацию», — так описывается основной рабочий сценарий атаки.

Статус распространения и гипотезы

На текущем этапе остается неопределенным, работает ли The Gentlemen как RaaS (ransomware-as-a-service). В связи с отсутствием признаков ребрендинга или дочерних групп, связывающих его с уже известными семействами, возможны две гипотезы:

  • The Gentlemen — независимая группа/семейство, действующее самостоятельно.
  • Это закрытый RaaS с ограниченным кругом партнеров, что затрудняет выявление следов сотрудничества и ребрендинга.

Последствия и рекомендации для организаций

Исходя из описанного поведения вредоноса, ключевые риски — потеря конфиденциальности и доступности данных, компрометация резервных копий и длительное восстановление бизнес‑процессов. Базовые меры защиты включают:

  • регулярное тестирование и изолированное хранение резервных копий;
  • жёсткая сегментация сети и ограничение административных привилегий;
  • мониторинг изменений GPO и контроля установленных драйверов (обратить внимание на неподписанные драйверы / BYOVD‑паттерны);
  • настройка EDR/SIEM для обнаружения аномалий: массовых остановок сервисов резервного копирования, попыток очистки логов, отключений Windows Defender;
  • ограничение возможности запуска исполняемых файлов, особенно тех, которые принимают управляемые через командную строку параметры.

Вывод

The Gentlemen демонстрирует скоординированный набор техник: продвинутая криптография, целевые предусловия (выключение защит, остановка backup‑сервисов), использование BYOVD и гибкая конфигурация через CLI. Эти особенности подтверждают, что атаки на корпоративные сети остаются приоритетной целью для злоумышленников, а защита требует комплексного подхода — от контроля драйверов и GPO до надежных, изолированных резервных копий и мониторинга подозрительных действий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: