RaaS The Gentlemen набирает обороты: более 320 жертв и продвинутые техники атак на корпоративные сети

Эксперты Check Point Research, анализируя инцидент в рамках реагирования, обнаружили попытку аффилированного лица The Gentlemen развернуть на скомпрометированном хосте вредоносную программу SystemBC. Этот инструмент, часто используемый в ручных атаках с программами-вымогателями, действует как прокси, создавая скрытые туннели SOCKS5 внутри сети жертвы для доставки полезной нагрузки и команд. Телеметрия с соответствующего командного сервера SystemBC (C&C, Command and Control) показала, что он является частью ботнета, охватывающего более 1570 систем по всему миру, причём картина заражения явно указывает на целенаправленные атаки на организации, а не на массовое потребительское распространение. Наиболее пострадали США, Великобритания и Германия. Хотя точная интеграция SystemBC в экосистему The Gentlemen пока не ясна, её использование демонстрирует, что аффилированные лица активно применяют профессиональные инструменты для пост-эксплуатации.

Детальный анализ конкретной атаки, проведённый специалистами, раскрывает классический, но отточенный сценарий ручного вторжения. Начав с получения привилегий администратора домена, злоумышленники провели разведку, валидацию учётных данных и удалённое выполнение кода, используя такие инструменты, как Cobalt Strike. После блокировки попытки развернуть SystemBC на одной из машин атака адаптировалась: был активирован альтернативный канал управления через Cobalt Strike, а для удалённого достава настроен AnyDesk с предустановленным паролем. Ключевым этапом стало использование скомпрометированного контроллера домена для распространения шифровальщика через групповые политики (Group Policy Object, GPO), что привело к почти одновременному шифрованию данных на всех присоединённых к домену компьютерах.

Техническая сложность The Gentlemen выходит далеко за рамки простого шифровальщика. Программа обладает обширным набором аргументов командной строки, позволяющим операторам тонко настраивать атаку. Помимо выбора целевых дисков и сетевых папок, можно задать задержку перед стартом, режимы скорости шифрования (от полного до "ультрабыстрого", затрагивающего лишь 1% файла) и активировать мощные функции для распространения внутри сети. Аргумент "--spread" с указанием украденных учётных данных запускает агрессивное латеральное перемещение: после автоматического обнаружения всех компьютеров в домене вредоносное ПО копирует себя на целевые хосты, отключает на них защиту (включая Microsoft Defender и брандмауэр) и пытается выполниться через множество каналов - PsExec, WMI, удалённые задания планировщика и службы. Наиболее разрушительным является флаг "--gpo", предназначенный для выполнения непосредственно на контроллере домена. Он создаёт и немедленно применяет групповую политику, которая запускает шифровальщик на всех машинах в домене, превращая инфраструктуру самой организации в орудие её уничтожения.

Вредоносное ПО демонстрирует глубокое понимание системного администрирования и методов обороны. Оно активно противодействует защите: отключает мониторинг антивируса, добавляет свои процессы и целые диски в исключения, останавливает и отключает службы брандмауэра. Перед шифрованием программа принудительно завершает сотни процессов - от СУБД (Microsoft SQL, Oracle, MySQL) и систем резервного копирования (Veeam, Commvault, Acronis) до офисных приложений и средств удалённого доступа, стремясь снять блокировки с файлов. Для затруднения восстановления удаляются теневые копии (shadow copies) и очищаются ключевые системные журналы. При этом шифровальщик сознательно обходит критически важные для работы ОС каталоги и файлы, а также, что примечательно, специальную папку "! Cynet Ransom Protection", используемую одноимённым решением для размещения ловушек.

Отдельного внимания заслуживает версия для VMware ESXi, написанная на C. Её логика адаптирована под виртуальные среды: перед шифрованием она gracefully останавливает, а при необходимости принудительно завершает все виртуальные машины, чтобы разблокировать файлы дисков. Для обеспечения живучести на гипервизоре шифровальщик маскируется под системный демон, прописывается в автозагрузку через "rc.local.d" и "crontab". Кроме того, он выполняет тонкую настройку параметров VMFS для увеличения скорости записи и отключает функцию автоматического запуска ВМ, что усложняет восстановление после атаки.

Быстрая эволюция The Gentlemen из новичка в серьёзную угрозу иллюстрирует тренд на коммерциализацию и демократизацию сложных кибератак. Платформа предоставляет аффилированным лицам, даже обладающим средней квалификацией, готовый, многофункциональный и кроссплатформенный инструментарий для проведения масштабных корпоративных инцидентов. Наблюдаемое сочетание собственного шифровальщика с такими профессиональными инструментами, как Cobalt Strike и SystemBC, указывает на интеграцию в более широкую экосистему пост-эксплуатации. Для организаций это означает, что защита должна выстраиваться комплексно, с фокусом на раннем обнаружении признаков латерального перемещения, жёстком контроле привилегий домена и постоянном мониторинге аномальной активности, особенно связанной с изменением групповых политик и отключением систем безопасности.

IPv4

• 45.86.230.112
• 91.107.247.163

SHA256

• 025fc0976c548fb5a880c83ea3eb21a5f23c5d53c4e51e862bb893c11adf712a
• 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b
• 1eece1e1ba4b96e6c784729f0608ad2939cfb67bc4236dfababbe1d09268960c
• 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67
• 2ed9494e9b7b68415b4eb151c922c82c0191294d0aa443dd2cb5133e6bfe3d5d
• 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235
• 48d9b2ce4fcd6854a3164ce395d7140014e0b58b77680623f3e4ca22d3a6e7fd
• 5dc607c8990841139768884b1b43e1403496d5a458788a1937be139594f01dca
• 62c2c24937d67fdeb43f2c9690ab10e8bb90713af46945048db9a94a465ffcb8
• 788ba200f776a188c248d6c2029f00b5d34be45d4444f7cb89ffe838c39b8b19
• 860a6177b055a2f5aa61470d17ec3c69da24f1cdf0a782237055cba431158923
• 87d25d0e5880b3b5cd30106853cbfc6ef1ad38966b30d9bd5b99df46098e546c
• 8c87134c1b45e990e9568f0a3899b0076f94be16d3c40fa824ac1e6c6ee892db
• 91415e0b9fe4e7cbe43ec0558a7adf89423de30d22b00b985c2e4b97e75076b1
• 992c951f4af57ca7cd8396f5ed69c2199fd6fd4ae5e93726da3e198e78bec0a5
• 994d6d1edb57f945f4284cc0163ec998861c7496d85f6d45c08657c9727186e3
• 9f61ff4deb8afced8b1ecdc8787a134c63bde632b18293fbfc94a91749e3e454
• a7a19cab7aab606f833fa8225bc94ec9570a6666660b02cc41a63fe39ea8b0ad
• b67958afc982cafbe1c3f114b444d7f4c91a88a3e7a86f89ab8795ac2110d1e6
• c46b5a18ab3fb5fd1c5c8288a41c75bf0170c10b5e829af89370a12c86dd10f8
• c7f7b5a6e7d93221344e6368c7ab4abf93e162f7567e1a7bcb8786cb8a183a73
• cc14df781475ef0f3f2c441d03a622ea67cd86967526f8758ead6f45174db78e
• ec368ae0b4369b6ef0da244774995c819c63cffb7fd2132379963b9c1640ccd2
• efaf8e7422ffd09c7f03f1a5b4e5c2cc32b05334c18d1ccb9673667f8f43108f
• f736be55193c77af346dbe905e25f6a1dee3ec1aedca8989ad2088e4f6576b12
• fc75ed2159e0c8274076e46a37671cfb8d677af9f586224da1713df89490a958

fe1033335a045c696c900d435119d210361966e2fb5cd1ba3382608cfa2c8e68