The Gentlemen: RaaS-атаки через FortiGate и двойное вымогательство

The Gentlemen — это RaaS-операция, которая выделяется на фоне других групп не только масштабом атак, но и набором TTP, характерных для хорошо организованной киберпреступной инфраструктуры. По данным отчета, на ранних этапах вторжений злоумышленники активно эксплуатировали критическую уязвимость в продуктах Fortinet — CVE-2024-55591, используя общедоступные FortiGate для первоначального доступа.

Как действует The Gentlemen

Исследователи отмечают, что группа поддерживает значительный запас скомпрометированных устройств, что позволяет ей быстро масштабировать атаки. Среди ключевых элементов их операций — бэкдорные эксплойты, механизмы кражи учетных данных и попытки перебора паролей, которые, как сообщается, привели к компрометации около 1000 виртуальных сетей Fortinet.

Для выполнения вредоносных действий The Gentlemen используют сочетание PowerShell и Python. Эти инструменты применяются для извлечения учетных данных и развертывания вредоносного ПО, что делает цепочку атаки гибкой и труднее обнаруживаемой.

Закрепление, обход защиты и сокрытие следов

Отдельного внимания заслуживают методы закрепления в системе и уклонения от обнаружения. В арсенале группы:

• создание запланированных задач для закрепления;
• использование подхода BYOVD (Bring Your Own Vulnerable Driver) для отключения решений безопасности конечных точек на уровне ядра;
• очистка журналов событий Windows для удаления следов активности;
• имитация законных процессов;
• редактирование конфигураций реестра.

Такая комбинация приемов позволяет злоумышленникам не только удерживать контроль над инфраструктурой, но и существенно затруднять расследование инцидента.

Перемещение внутри сети и отключение средств защиты

The Gentlemen демонстрируют выраженный интерес к lateral movement. Для распространения вредоносного ПО по нескольким системам они используют SMB и административные общие ресурсы. Параллельно злоумышленники отключают средства безопасности, включая Windows Defender, посредством административных команд и изменений Group Policy.

По сути, атака строится так, чтобы быстро расширить контроль над инфраструктурой жертвы, ослабить средства защиты и подготовить почву для шифрования данных и последующего давления.

Экcфильтрация данных и double extortion

Примечательной особенностью кампаний группы является эксфильтрация данных через RClone, который настраивается для работы с SFTP. Кроме того, злоумышленники используют пользовательские инструменты для кражи учетных данных и иных задач, связанных с извлечением информации.

Оперативная модель The Gentlemen строится на double extortion: данные не только шифруются, но и угроза их публикации используется как дополнительный рычаг давления. Для жертвы это означает двойной удар — восстановление инфраструктуры усложняется, а риск репутационных и правовых последствий возрастает.

Группа не ограничивается шифрованием: она выстраивает полноценную схему принуждения, где к выкупу добавляется угроза обнародования украденной информации.

AI, reverse engineering и эволюция угрозы

Отчет также указывает на интерес The Gentlemen к Artificial Intelligence и инструментам программирования. Это отражает более широкую тенденцию в киберпреступной среде: злоумышленники стремятся повысить сложность атак и одновременно снизить вероятность обнаружения.

Отдельно отмечается, что группа занимается reverse engineering существующих образцов ransomware, чтобы улучшать собственные возможности. Такой подход подтверждает: ландшафт угроз остается динамичным, а обмен знаниями между преступными группами становится все более заметным фактором эскалации атак.

Что рекомендуется организациям

Чтобы снизить риски, связанные с деятельностью подобных групп, в отчете рекомендованы базовые, но критически важные меры:

• оперативное исправление уязвимостей;
• внедрение надежных механизмов аутентификации;
• сегментация сети для ограничения lateral movement;
• усиление контроля за административными учетными записями;
• мониторинг признаков отключения средств безопасности и очистки журналов.

The Gentlemen наглядно демонстрируют, как ransomware-операции продолжают эволюционировать: за счет эксплуатации критических уязвимостей, использования легитимных инструментов администрирования, сокрытия следов и давления через double extortion. Для корпоративной защиты это означает необходимость сочетать patch management, сегментацию, многофакторную аутентификацию и постоянный мониторинг подозрительной активности.