Группа исследователей кибербезопасности Cybereason опубликовала детальный анализ новой ransomware-группы под названием «The Gentlemen», которая начала проявлять активность примерно в июле 2025 года. По данным экспертов, злоумышленники демонстрируют достаточно продвинутые методики атак, сочетая классические подходы с инновационными стратегиями. Это позволяет им быстро адаптироваться к новым векторам атак и оставаться устойчивой угрозой для организаций по всему миру.
Описание
Одной из ключевых особенностей группы является применение тактики двойного шантажа. Помимо шифрования важных файлов, злоумышленники осуществляют хищение конфиденциальных бизнес-данных. Впоследствии они угрожают опубликовать эту информацию на сайтах-сливах в даркнете, если жертва не заплатит выкуп. Уже в сентябре и октябре 2025 года группа заявила о 48 пострадавших организациях, что свидетельствует о высокой оперативной активности.
Перед запуском собственной платформы Ransomware-as-a-Service (RaaS) группа экспериментировала с партнёрскими моделями других известных ransomware-групп. Этот опыт позволил им отточить методы и в конечном итоге создать собственную RaaS-операцию. На форумах киберпреступников «The Gentlemen» активно рекламируют свои услуги, предлагая гибко настраиваемые функции для различных сценариев атак.
Недавнее обновление вредоносного ПО группы привнесло расширенные возможности автоматического перезапуска и загрузки вместе с системой, что повышает устойчивость на скомпрометированных системах. Теперь программа-вымогатель поддерживает гибкие скорости шифрования и методы распространения с использованием WMI, PowerShell remoting и других инструментов для перемещения по сетям. Кроме того, она нацелена как на локальные диски, так и на сетевые ресурсы, что подчеркивает эволюционный подход группы к сохранению контроля и увеличению ущерба от атак.
С технической точки зрения, «The Gentlemen» используют мощные алгоритмы шифрования XChaCha20 и Curve25519, что обеспечивает надёжное блокирование файлов. Конфигурируемые режимы шифрования позволяют операторам настраивать баланс между скоростью и тщательностью процесса. Также реализована функция само-устойчивости, обеспечивающая постоянный контроль через автозагрузку.
Особое внимание группа уделяет атакам на виртуальные среды. Специализированный модуль для VMware ESXi обеспечивает асинхронное шифрование и скрытность операций. Улучшена параллельная работа для одновременного воздействия на несколько гипервизоров в кластерах, включая vSAN-хранилища.
В рамках RaaS-модели группа предоставляет партнёрам-аффилиатам настраиваемые сборки, полноценную поддержку и инструменты для переговоров с жертвами. Примечательно, что в правилах группы явно запрещена работа против целей в России и странах СНГ. Аффилиаты обязаны загружать зашифрованные данные в публичное облако или на одобренные ресурсы для последующей публикации на блоге группы.
Технический анализ исполняемого файла вымогателя для Windows, написанного на Golang, показал обширный набор опций командной строки. Для запуска процедуры шифрования требуется аргумент --password, который, вероятно, передаётся через дроппер или загрузчик на первом этапе заражения. Среди ключевых флагов - настройка целевых путей, задержка перед стартом, бесшумный режим, а также регулировка скорости шифрования от «быстрого» до «ультрабыстрого».
Вредоносная программа также включает в себя PowerShell-команды для отключения защитных механизмов. Например, она деактивирует реальную защиту Windows Defender и добавляет исключения для процессов и каталогов. Дополнительно выполняются команды для включения правил брандмауэра в группе «Обнаружение сети», что облегчает распространение по инфраструктуре.
Для затруднения расследования группа применяет анти-форензик-приёмы: удаляются журналы RDP-сессий, телеметрия защитных решений и файлы предвыборки. Кроме того, программа содержит встроенный список процессов и служб для принудительной остановки, включая СУБД, инструменты резервного копирования и системы виртуализации.
Эксперты Cybereason приходят к выводу, что «The Gentlemen» представляют собой высокоадаптивную и быстро развивающуюся операцию. Сочетание зрелых методик, модели RaaS, тактики двойного шантажа, кроссплатформенности, автоматизированной устойчивости и поддержки аффилиатов позволяет им масштабировать атаки и обходить базовые защиты. Специалисты рекомендуют организациям уделять повышенное внимание профилактическим мерам: внедрению многофакторной аутентификации, регулярному резервному копированию и своевременному обновлению систем. При обнаружении подозрительной активности необходимо незамедлительно подключать службы реагирования на инциденты для полного устранения угрозы.
Индикаторы компрометации
SHA256
- 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235
- 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2
