Главная страница » Индикаторы компрометации
0
4 часа
Индикаторы компрометации

Утечка внутренней базы группировки The Gentlemen раскрыла механизмы атак на сотни компаний по всему миру

ransomware

Программа-вымогатель The Gentlemen, впервые замеченная летом 2025 года, за короткое время превратилась в одну из самых активных угроз на рынке информационной безопасности. По данным сервиса Ransomware.live, количество жертв этой операции превысило 400 организаций как минимум в 70 странах. Однако до недавнего времени внутренняя кухня группировки оставалась для исследователей загадкой. Ситуация кардинально изменилась после утечки базы данных оператора, произошедшей в начале мая. Этот инцидент открыл беспрецедентный доступ к методам работы злоумышленников, включая перечень используемых уязвимостей, каналы первоначального проникновения и даже логи переговоров о выкупе.

Описание

Особенность The Gentlemen заключается в том, что это программа-вымогатель, распространяемая по модели RaaS, то есть как услуга. Партнёры (аффилированные лица) получают доступ к вредоносному коду и панели управления, после чего проводят атаки самостоятельно. Именно поэтому тактики, методы и процедуры нападений сильно различаются от инцидента к инциденту. Специалисты центра мониторинга и реагирования (SOC) компании Huntress столкнулись с двумя такими случаями в апреле и мае, и их расследование позволило выявить общие закономерности, несмотря на различия в деталях.

В обоих инцидентах злоумышленники демонстрировали удивительно схожий набор действий. Они активно использовали планировщик задач (Scheduled Tasks) и скрипты PowerShell. При этом защитные меры были направлены на обход антивирусных решений. В частности, в обоих случаях были очищены журналы событий Windows категорий Security, System и Application. Но, что показательно, остальные журналы операционной системы остались нетронутыми. Это несколько необычная тактика, которая оставляет следователям значительное количество зацепок, несмотря на попытки замести следы.

В центре внимания исследователей оказалась внутренняя база данных группировки, которую обнародовал инсайдер, имевший доступ к инфраструктуре The Gentlemen. Слив данных позволил увидеть реальную картину работы RaaS-операции. В базе содержались учётные записи, в том числе принадлежащие администратору - ключевой фигуре, управляющей инфраструктурой и отвечающей за сборку исполняемого файла шифровальщика (locker) и панели управления. Особый интерес представляет раздел, посвящённый векторам первоначального доступа. Судя по документам, любимым методом проникновения для партнёров группировки являются пограничные устройства (edge appliances), такие как межсетевые экраны и VPN-концентраторы. Кроме того, злоумышленники тщательно мониторят актуальные уязвимости и активно эксплуатируют критические CVE. Например, в базе данных найдено упоминание об уязвимости обхода аутентификации в устройствах Fortinet CVE-2024-55591.

Исследователи из Check Point ранее выявили восемь идентификаторов партнёров, привязанных к мессенджеру Tox, который группировка использовала для коммуникации. Среди этих идентификаторов был найден и код самого администратора. Это означает, что администратор может не просто координировать работу аффилированных лиц, но и сам принимать непосредственное участие в атаках. Ранее в публичных отчётах также упоминалось, что при развёртывании вымогателя партнёры применяли легитимные драйверы для обхода защиты, использовали групповые политики для атак на уровне домена и устанавливали удалённый доступ через AnyDesk.

В первом инциденте, который произошёл 10 апреля, жертвой стала компания из сферы транспорта и логистики. Агент Huntress был установлен уже после завершения атаки, поэтому полная картина первоначального проникновения осталась неясна. Однако доступные журналы событий позволили проследить хронологию. 9 апреля злоумышленник инициировал подключение по протоколу RDP (Remote Desktop Protocol) через скомпрометированную учётную запись пользователя. Сразу после этого он попытался запустить файл шифровальщика win.exe локально из папки Documents. Microsoft Defender обнаружил и заблокировал эту попытку. Также были зафиксированы действия PowerShell-скрипта, пытавшегося изменить исключения антивируса.

После неудачной попытки злоумышленник не остановился. Он создал серию задач в планировщике, предположительно на контроллере домена, и с их помощью запустил шифровальщик повторно. На этот раз он был найден на общей папке NETLOGON и выполнен системной учётной записью через клиент Configuration Manager. Microsoft Defender снова обнаружил угрозу, но по какой-то причине не смог выполнить очистку. В результате файлы были зашифрованы с расширением .fjn1jw, а на рабочие столы попала записка с требованиями README-GENTLEMEN.txt.

Второй инцидент произошёл в строительной компании в середине мая. Агент Huntress был установлен постфактум на три конечные точки 18 мая, хотя вредоносная активность, судя по логам Defender, началась ещё 22 апреля. Шифрование файлов стартовало 15 мая. Интересно, что злоумышленники в этой атаке действовали немного иначе: они использовали другой файл шифровальщика (G_hlm7jj_windows_amd64.exe) и оперировали из папки Downloads, а не Documents. Первая попытка развёртывания также была заблокирована Defender. В ответ злоумышленники применили целый арсенал методов обхода защиты.

Через PowerShell они отключили мониторинг в реальном времени, остановили и отключили службу защитника, добавили в исключения путь к папке C: целиком и сам исполняемый файл. После этого они создали задачи в планировщике, которые запускали вредоносный бинарник svchost32.exe из временной папки. Этот файл, маскирующийся под легитимный системный процесс, устанавливал SOCKS-прокси для подключения к серверу управления (C2) с IP-адресом 193.233.202[.]17 через порт 44729. Задача была настроена на запуск каждые две минуты. Такая частота создаёт огромное количество событий в журнале планировщика, что делает этот способ закрепления в системе очень шумным с точки зрения мониторинга.

Дополнительная информация из утечки подтверждает, что партнёры группировки активно используют группу инструментов для обхода антивирусных решений и злоупотребляют механизмами логирования Windows. Например, в Trend Micro ранее сообщали о применении специально созданных средств отключения защитных решений. Аналитики Huntress отмечают, что у пострадавших организаций не было развёрнуто систем класса SIEM, что серьёзно ограничило возможности исследования инцидента. Отсутствие телеметрии от EDR-решений также помешало получить полную картину о первоначальном доступе.

Случай с The Gentlemen наглядно демонстрирует, насколько сложно стало защищаться от современных RaaS-операций. Партнёры используют разные комбинации тактик, но неизменно прибегают к обходу антивирусов и очистке журналов. Для специалистов по безопасности крайне важно не полагаться на единственный источник телеметрии. Использование нескольких слоёв мониторинга, проактивный анализ логов планировщика и PowerShell, а также настройка отправки журналов событий в централизованное хранилище (SIEM) могут существенно повысить шансы на своевременное обнаружение подобных атак.

Индикаторы компрометации

IPv4

  • 193.233.202.17
  • 77.110.122.137

IPv4 Port Combinations

  • 193.233.202.17:44729
  • 77.110.122.137:37182

SHA256

  • f918535f974591ef031bd0f30a8171e3da27a6754e6426a8ba095f83195661c8

Комментарии: 0
Похожие записи
0
27.02.2025
Индикаторы компрометации

Кампания, направленная на публично открытые интерфейсы управления на брандмауэрах Fortinet FortiGate

security
В исследовании, проведенном компанией Arctic Wolf Labs, было обнаружено, что межсетевые устройства Fortinet FortiGate с открытыми для публичного доступа интерфейсами управления подвергались несанкционированной активности.
0
12.05.2026
Индикаторы компрометации

Атака через поддельную утилиту Sysinternals: злоумышленники использовали блокчейн Ethereum и облачные сервисы для развёртывания программ-вымогателей

ransomware
В апреле этого года эксперты по информационной безопасности зафиксировали сложную многоэтапную атаку, нацеленную на корпоративную инфраструктуру. Инцидент примечателен не только комбинацией классических
0
01.06.2026
Индикаторы компрометации

Утечка внутренней переписки раскрыла структуру и методы хакерской группы The Gentlemen

APT
В начале мая 2026 года в открытый доступ попал архив внутренней переписки одной из самых активных групп-вымогателей последнего времени - The Gentlemen. Утечка произошла после взлома хостинг-провайдера
0
15.04.2026
Индикаторы компрометации

Утечка операционного набора программ-вымогателей TheGentlemen раскрывает тактику атак и реальных жертв

APT
В марте 2026 года исследователи кибербезопасности обнаружили открытый каталог на инфраструктуре российского хостинг-провайдера Proton66, который содержал полный операционный набор инструментов, используемых