Программа-вымогатель The Gentlemen высвечивает проблему, с которой сталкиваются многие CISO: как остановить злоумышленников после того, как они закрепились в системе. Исследователи утверждают, что вредоносное ПО может распространяться по корпоративным сетям с использованием легитимных инструментов управления Windows, одновременно пытаясь ослабить системы безопасности и восстановления.
В отчете компании Picus Security показано, что вредоносное ПО сочетает самораспространение с неправомерным использованием доверенных административных инструментов и пытается нарушить работу систем восстановления до начала шифрования. Отчет последовал за техническим анализом шифровальщика, опубликованным Microsoft Threat Intelligence в конце мая.
The Gentlemen — это операция ransomware-as-a-service, написанная на Go и обфусцированная с помощью Garble. Группа впервые появилась около середины 2025 года как закрытая структура и начала предлагать свою платформу аффилиатам в сентябре 2025 года.
Отчет Picus сосредоточен на шифровальщике, нацеленном на Windows, однако другие исследователи сообщали о более широком наборе инструментов Gentlemen, нацеленных на среды Linux и VMware ESXi. Группа была замечена в атаках на организации в таких секторах, как образование, транспорт, здравоохранение и финансовые услуги в Северной и Южной Америке, Европе, Африке и Азии.
Его способность к самораспространению является самой значимой особенностью для защитников предприятий. При активации вредоносное ПО может перечислять доступные системы, размещать свой бинарный файл через SMB-ресурс и выполнять до 21 операции удаленного выполнения против каждой цели.
Эти методы включают PsExec, WMIC, запланированные задачи, службы Windows, удаленное управление PowerShell и создание процессов WMI. Избыточность призвана повысить вероятность того, что хотя бы один метод увенчается успехом, позволяя вредоносному ПО продолжать распространяться по сети.
Перед шифрованием The Gentlemen пытается ослабить среду жертвы, отключая Microsoft Defender, удаляя теневые копии и стирая криминалистические артефакты. Он также останавливает службы, связанные с базами данных, инструментами резервного копирования, защитой конечных точек и платформами виртуализации, что может затруднить восстановление после начала шифрования.
Шифровальщик использует гибридную схему шифрования Curve25519 и XChaCha20 с уникальными ключами для каждого файла, сообщает Picus. В образце, процитированном Picus, к зашифрованным файлам добавлялось расширение .umc16h, хотя другие исследователи наблюдали другие расширения в отдельных кампаниях Gentlemen. Группа также использует тактику двойного вымогательства, угрожая утечкой украденных данных, если жертвы не заплатят.
Боковое перемещение и риски идентификации
Как только злоумышленники получают первоначальный доступ, скомпрометированные учетные данные и избыточные привилегии часто имеют большее значение, чем само вредоносное ПО, говорит Сакши Гровер, старший менеджер по исследованиям услуг кибербезопасности в IDC Asia/Pacific.
«The Gentlemen подтверждает тенденцию, которую IDC наблюдает в современных операциях программ-вымогателей: злоумышленники все чаще используют доверенные административные инструменты, скомпрометированные учетные данные и избыточные привилегии, вместо того чтобы полагаться исключительно на сложное вредоносное ПО или эксплойты нулевого дня», — заявила Гровер.
Для CISO это означает, что защита от программ-вымогателей не может оцениваться только по тому, заблокировано ли первоначальное проникновение. Организации также должны ограничивать, насколько далеко злоумышленник может продвинуться, оказавшись внутри сети.
Гровер считает, что руководителям служб безопасности следует начать с более строгих мер контроля в отношении привилегированных учетных записей, включая MFA, устойчивую к фишингу, и более жесткие ограничения на доступ к критически важным системам. Затем следует использовать управление идентификацией и сегментацию сети, чтобы уменьшить количество путей, которые может использовать злоумышленник, оказавшись внутри среды.
Эти меры контроля должны проверяться посредством эмуляции действий противника и тестирования путей атак, а не считаться эффективными только потому, что они существуют на бумаге.
Резервные копии и инструменты для конечных точек
По мнению аналитиков, попытка The Gentlemen нарушить работу инструментов безопасности и восстановления подчеркивает общую слабость в планировании защиты от программ-вымогателей на предприятиях.
«Многие организации продолжают приравнивать развертывание платформ резервного копирования или решений для обнаружения конечных точек к устойчивости к программам-вымогателям», — сказала Гровер. «Однако сложное вредоносное ПО все чаще нацелено именно на эти возможности до начала шифрования».
Гровер добавила, что CISO следует проверять, остаются ли системы восстановления работоспособными во время активного компрометации, включая резервные копии, которые должны быть неизменяемыми, и инструменты для конечных точек, защищенные от вмешательства. Эти упражнения также должны учитывать возможность недоступности Active Directory или ключевых консолей управления безопасностью.
Самое опасное предположение заключается в том, что наличие резервных копий равносильно возможности восстановления после атаки программы-вымогателя, считает Девашри Датта, исследователь кибербезопасности.
«Если ваши резервные копии находятся в той же плоской сети или зависят от тех же скомпрометированных учетных данных Active Directory, они не являются активом для восстановления; они становятся частью поверхности атаки», — сказала она.
Датта также указала на чрезмерную зависимость от инструментов обнаружения и реагирования на конечных точках. Исследователи ESET связали The Gentlemen со зрелым набором инструментов для уничтожения EDR, включая варианты, которые используют уязвимые драйверы для нарушения работы программного обеспечения безопасности.
Проблема операционной устойчивости
Модель группы отражает продолжающуюся индустриализацию ransomware-as-a-service — фреймворк, который, по словам Датты, снижает технический барьер для аффилиатов, сочетая шифрование со стандартизированными уровнями уклонения и распространения.
Для CISO вопрос заключается не в том, установлены ли инструменты резервного копирования и конечных точек, а в том, работают ли они по-прежнему после того, как злоумышленники получили административный доступ. Датта считает, что организациям необходимо оценить подверженность рискам в инфраструктуре идентификации, Active Directory, облачных сервисах и средах резервного копирования.
Приоритетом, по ее словам, является сокращение путей, доступных злоумышленникам, и доказательство посредством регулярных учений по обеспечению устойчивости того, что организация может сдержать вторжение до того, как оно перерастет в более масштабный сбой.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Prasanth Aby Thomas




