В постоянно меняющейся экосистеме программ-вымогателей появление новых брендов стало рутиной. Однако за громкими названиями часто скрываются одни и те же исполнители, мигрирующие между партнёрскими программами и переносящие с собой тактики, техники и процедуры (TTPs). Исследователи Group-IB опубликовали подробный отчёт о группе The Gentlemen, которая наглядно демонстрирует эту динамику. Рождённая из конфликта с операторами Qilin, эта новая операция Ransomware-as-a-Service (RaaS, модель "вымогательство как услуга") менее чем за год превратилась в серьёзную угрозу, располагающую базой из тысяч скомпрометированных корпоративных устройств по всему миру.
Описание
От ArmCorp к The Gentlemen: генезис из партнёрского конфликта
Группа The Gentlemen, насчитывающая около 20 участников, ведёт свою историю от активного аффилиата Qilin, известного под названием ArmCorp. Управляет операцией русскоязычный злоумышленник с ником hastalamuerte, который обеспечивает партнёров ресурсами для атак. Поворотным моментом стал публичный спор о выплатах на форуме RAMP в июле 2025 года, где hastalamuerte обвинил операторов Qilin в невыплате $48 000 комиссии. Примечательно, что уже за пять дней до этого спора в VirusTotal был загружен первый образец вредоносного ПО The Gentlemen, что указывает на заблаговременную подготовку к независимой деятельности. Как сообщают эксперты, в ходе этого арбитражного разбирательства hastalamuerte прямо заявил, что был занят написанием собственного "локера" (шифровальщика), чтобы избежать подобных проблем в будущем.
Ключевые векторы атаки: уязвимости Fortinet и слабые учётные данные
Основным вектором начального доступа для группы стала эксплуатация критической уязвимости CVE-2024-55591 в FortiOS и FortiProxy, позволяющей обойти аутентификацию и получить права супер-администратора на межсетевом экране. Это не просто обход логина, а цепочка из четырёх уязвимостей, включая состояние гонки и отсутствие проверки учётных данных. Взломанные устройства FortiGate добавляются в операционную базу данных, которая, по данным Group-IB, на момент исследования содержала около 14 700 устройств по всему миру. Эта база, оформленная в виде HTML-страницы с обзором инвентаря, предоставляется аффилиатам для выбора целей. Параллельно группа ведёт агрессивные атаки методом грубой силы на VPN-шлюзы Fortinet, используя списки из тысяч стандартных или легко угадываемых пар, таких как "guest", "fortinet" или "P@ssw0rd". В их распоряжении находится около 969 проверенных учётных записей, полученных таким способом.
Тактика от закрепления до шифрования: BYOVD, перебор и уклонение от защиты
Анализ TTPs группы, сопоставленный с матрицей MITRE ATT&CK, показывает хорошо отлаженный процесс вторжения. После получения доступа злоумышленники активно используют PowerShell и Python для выполнения скриптов, исследуют сеть с помощью инструментов вроде NetExec (ранее CrackMapExec) и продвигаются по ней. Для эскалации привилегий и закрепления в системе создаются доменные учётные записи, манипулируются группы, вносятся изменения в объекты групповой политики (GPO). Особое внимание уделяется отключению средств защиты. Помимо стандартных методов, таких как отключение Windows Defender через GPO или реестр, группа применяет сложную технику BYOVD (Bring Your Own Vulnerable Driver), используя уязвимые, но подписанные драйверы (например, ThrottleBlood.sys) для завершения процессов EDR/AV на уровне ядра системы. Для вывода данных активно используется инструмент Rclone, маскируемый под легитимные утилиты.
Цели и последствия: двойное вымогательство и таргетирование критических отраслей
Группа практикует модель двойного вымогательства: данные не только шифруются, но и похищаются перед этим, с угрозой публикации на специальном сайте утечек (Data Leak Site, DLS). К настоящему моменту атакам подверглись около 94 организаций. Аффилиаты выбирают цели, исходя из их платёжеспособности, отрасли (особенно привлекательны здравоохранение и критическая инфраструктура) и юридических последствий возможной утечки данных. Шифровальщик группы развивается, заимствуя лучшие практики у других семейств, таких как Babuk и LockBit. Уже реализованы функции агрессивного распространения по сети через WMI, таймеры задержки запуска и специализированные версии для виртуальных сред ESXi, которые целенаправленно останавливают службы резервного копирования и удаляют снапшоты.
Что делать организациям: практические рекомендации по защите
Угроза со стороны таких групп, как The Gentlemen, подчёркивает важность базовых, но эффективных мер безопасности. Во-первых, критически необходимо своевременно применять обновления безопасности, особенно для интерфейсов управления, обращённых в интернет, таких как VPN-шлюзы и веб-консоли. Эксплуатация CVE-2024-55591 стала возможной именно из-за незакрытых уязвимостей. Во-вторых, обязательна строгая политика паролей и повсеместное внедрение многофакторной аутентификации (MFA) для всех систем удалённого доступа, что сводит на нет атаки грубой силы. В-третьих, необходимы современные EDR-решения с возможностью мониторинга загрузки драйверов для обнаружения атак по схеме BYOVD. Наконец, жизненно важны изолированные, регулярно тестируемые резервные копии данных, которые позволяют восстановить работу без выплаты выкупа. Фокус защиты должен смещаться с отслеживания постоянно меняющихся названий групп на понимание и блокировку их повторяющихся тактик, таких как эксплуатация публичных приложений, манипуляция учётными записями и отключение средств защиты.
Индикаторы компрометации
IPv4
- 194.87.31.69
MD5
- 42c062d6299ca9f76554441a29429404
- 8901ce810f999f79c51c4d4f6c93fe6b
- d65c293efb5e6d033c83b2ac472bf0cb
- efd5366eb7473d6f7fb97ec7ac59f09d
SHA256
- 2834114ff7e487c4ca3f50ca39f7d652dea1be98f885c388f01b6ff35309307b
- 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235
- 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2
