В марте 2026 года исследователи кибербезопасности обнаружили открытый каталог на инфраструктуре российского хостинг-провайдера Proton66, который содержал полный операционный набор инструментов, используемых аффилиатами группировки программ-вымогателей TheGentlemen. Этот инцидент представляет собой не просто утечку потенциально вредоносных файлов, а редкую возможность заглянуть в реальный рабочий процесс злоумышленников, подтверждённый логами с компрометированными данными реальных организаций. Обнаружение подобного арсенала, оставленного без какой-либо аутентификации, подчёркивает как операционные ошибки преступников, так и критическую важность проактивного поиска угроз для упреждающей защиты.
Описание
Расследование началось с анализа индикаторов компрометации, опубликованных в отчёте компании CyberXTron. Используя систему поиска AttackCapture платформы Hunt.io, специалисты проверили эти индикаторы в своей базе данных открытых каталогов. Поиск привёл к единственному результату: серверу на адресе 176.120.22[.]127:80. Каталог содержал 126 файлов общим объёмом 140 мегабайт, сгруппированных в 18 вложенных папок. Структура не была случайной свалкой образцов вредоносного программного обеспечения, а напоминала тщательно организованный операционный набор, покрывающий все этапы внедрения программ-вымогателей: от разведки до удаления следов. При этом сервер оставался полностью открытым для доступа из интернета без пароля.
Наиболее значимым аспектом находки стали не сами инструменты, а свидетельства их реального применения. В подкаталоге "MIMIMI/!logs/" были обнаружены выходные файлы утилиты Mimikatz, содержащие хэши NTLM и имена пользователей, извлечённые из оперативной памяти (LSASS) систем-жертв. Наличие этих логов подтверждает, что инструментарий использовался в активных атаках против реальных целей, а не просто хранился для будущих операций. Автоматический анализ Hunt.io классифицировал все проанализированные скрипты как вредоносные, присвоив им теги "Exploit" и "Config". Искусственный интеллект платформы автоматически выделил ключевые процедуры: отключение защитника Windows, дамп учётных данных, очистку журналов событий, установку туннелей ngrok и механизмы закрепления в системе.
Весь набор инструментов можно отнести к 21 тактике из матрицы MITRE ATT&CK, охватывающей полный жизненный цикл вторжения. Для этапа разведки и обнаружения в каталоге присутствовала лицензионная версия легитимного сетевого сканера SoftPerfect Network Scanner ("netscan.exe") с предварительно настроенным профилем, а также несколько вариантов утилиты PC Hunter для глубокого анализа системы на уровне ядра. Для повышения привилегий злоумышленники использовали утилиту PowerRun, позволяющую выполнять процессы с правами TrustedInstaller - высшим уровнем доступа в Windows, что необходимо для отключения критически важных служб безопасности.
Фаза уклонения от защиты была представлена наиболее широко, что говорит о высокой операционной зрелости. В арсенале находилось шесть различных инструментов для нейтрализации средств защиты, от графических утилит до полностью автоматизированных скриптов. Среди них - "dControl.exe" для отключения защитника Windows, скрипт "WinDefGpo_Reg.ps1", использующий сложную цепочку эскалации через кражу токена TrustedInstaller, и пакетный файл "def1.bat", точечно отключающий защиту через прямое редактирование реестра. Такой подход с избыточностью обеспечивает оператору возможность обойти различные конфигурации безопасности в корпоративных средах.
Особого внимания заслуживает комплексный пакетный скрипт "z1.bat" размером 35 килобайт. Он функционирует как единый сценарий подготовки системы непосредственно перед развёртыванием шифровальщика, объединяя десятки деструктивных действий. Скрипт последовательно выполняет остановку и удаление служб более чем 12 вендоров средств безопасности, отключает 30+ служб Microsoft Exchange, останавливает сервисы баз данных Oracle и SQL Server, создаёт открытые общие сетевые ресурсы (SMB-шары) на всех дисках с полными правами для всех пользователей, проводит масштабную чистку записей в реестре, связанных с антивирусными продуктами, устанавливает бэкдоры через отладчики специальных возможностей Windows, включает RDP, отключает контроль учётных записей (UAC), удаляет теневые копии томов (VSS) и очищает журналы событий. Этот скрипт демонстрирует переход от точечного и скрытного воздействия к тотальной подготовке среды для максимального охвата шифрованием.
Для обеспечения удалённого доступа и закрепления в системе оператор использовал несколько каналов. В скриптах "NG1.bat" и "NG2.bat" в открытом тексте были обнаружены два разных токена аутентификации для сервиса ngrok, создающие туннели для доступа по RDP. Наличие двух токенов может указывать на операционную избыточность или на работу нескольких злоумышленников. Дополнительно в наборе присутствовал клиент удалённого рабочего стола RustDesk, обеспечивающий альтернативный, независимый от ngrok канал доступа. В качестве инструмента противодействия компьютерно-технической экспертизе использовался скрипт "clearlog.bat", удаляющий содержимое всех журналов Windows, корзину и историю RDP-подключений.
Анализ инструментария позволяет сделать несколько выводов об операционных практиках аффилиата. Во-первых, наблюдается явный акцент на избыточность, особенно в методах отключения защитника Windows. Во-вторых, лингвистический анализ выявил характерные орфографические ошибки в комментариях к скриптам (например, "Delite" вместо "Delete"), что может указывать на неанглоязычного автора. В-третьих, в наборе отсутствует какое-либо уникальное или кастомное вредоносное программное обеспечение - все инструменты являются либо легитимными утилитами двойного назначения, либо широко известными хакерскими инструментами. Это делает обнаружение классическими сигнатурными методами сложным и смещает фокус на поведенческий анализ.
Для специалистов по защите информации данная утечка является наглядным пособием по тактике современных операторов программ-вымогателей. Ключевые точки для обнаружения подобной активности включают мониторинг запуска процессов с правами TrustedInstaller, изменений состояния служб защитника Windows, массового отключения системных служб, попыток дампа памяти LSASS, модификаций отладчиков для исполняемых файлов специальных возможностей, создания открытых сетевых ресурсов и удаления теневых копий. Сетевой мониторинг должен быть настроен на блокировку подключений к инфраструктуре, связанной с подобными хостинг-провайдерами, и на обнаружение аномальных туннелей ngrok. Инцидент наглядно показывает, что операционные ошибки злоумышленников, такие как открытый сервер с инструментарием и токенами, создают возможности для проактивного поиска угроз и предотвращения инцидентов до начала шифрования.
Индикаторы компрометации
IPv4
- 176.120.22.127
IPv4 Port Combinations
- 176.120.22.127:80
Ngrok Token
- 2gkRUQNkJyaGkvuDziSq1RGIrwl_4bGyJtv6ez2Hk8Hrd5zvq
- 2ozoAve91tpILCwKCbRDNz7us8e_2qLk1aLKZoV4Y6TfrcfjK
