Операторы программ-вымогателей годами оттачивали искусство блокировки файлов. Теперь некоторые из них прилагают больше усилий, чтобы в первую очередь доставить эти блокировщики в каждую доступную систему.
Недавнее предупреждение Microsoft о вымогателе Gentlemen выявило, что его операторы используют самораспространяющийся шифровальщик на базе Go, способный перемещаться по скомпрометированным средам и развертываться на дополнительных системах.
«Современные программы-вымогатели больше не занимаются только шифрованием файлов», — заявил Пол Рид, вице-президент по исследованиям угроз в AttackIQ. «Больший риск заключается в том, как быстро одна скомпрометированная машина может привести к более широкому нарушению работы бизнеса».
В техническом анализе своей работы Microsoft сообщила, что вымогатель Gentlemen впервые был замечен в середине 2025 года и остается крайне активным на протяжении 2026 года, затрагивая организации в сферах образования, транспорта, здравоохранения и финансов в Северной Америке, Южной Америке, Европе, Африке и Азии.
Gentlemen начинался как «закрытый вымогатель», в сентябре 2025 года превратился в предложение ransomware-as-a-service (RaaS), а затем заключил партнерство с BreachForums для привлечения аффилиатов, включая пентестеров и брокеров первичного доступа, с популярной киберпреступной площадки.
Создан для перемещения до шифрования
Анализ Microsoft был сосредоточен на способности вымогателя распространяться по сети без полной зависимости от ручного вмешательства оператора.
Шифровальщик, написанный на Go, включает функциональность, предназначенную для идентификации дополнительных систем, аутентификации с использованием собранных учетных данных и копирования себя на удаленные машины через Server Message Block (SMB). После развертывания он может выполняться удаленно и продолжать распространяться, создавая цепную инфекцию внутри скомпрометированных сред.
По данным Microsoft, вредоносное ПО использует легитимные административные инструменты и функциональность Windows для облегчения перемещения, уменьшая необходимость активного участия злоумышленников на протяжении всей операции.
«Оператор вымогателя может управлять шифровальщиком The Gentlemen с помощью аргументов командной строки», — заявила Microsoft. «Для выполнения требуется пароль, а необязательные аргументы позволяют оператору указывать область шифрования, скорость, боковое перемещение и поведение после шифрования».
Один из аргументов командной строки, «–full», запускает отдельные процессы для шифрования локальных дисков с привилегиями SYSTEM и сетевых ресурсов, видимых пользователю, чтобы максимизировать охват шифрования после компрометации машины. Кроме того, команда «–spread» используется для бокового распространения.
«Защитники должны рассматривать The Gentlemen как проблему пути атаки, а не просто как проблему установки исправлений или обнаружения», — сказал Рид. «Приоритетом является понимание того, куда может переместиться вымогатель, какие средства контроля обнаружат, сдержат или нарушат его работу, и где все еще существуют пробелы до возникновения инцидента».
Gentlemen выполняет «проверку пароля» для подтверждения использования его RaaS аффилиатами и блокирует его использование для нежелательного восстановления или перехвата бинарных файлов. «Прежде чем выполнять свою основную функцию, вредоносное ПО проверяет аргумент –password по сравнению с жестко закодированным значением, встроенным в бинарный файл», — отметила Microsoft. «Для образца, проанализированного в этом блоге, ожидаемый пароль — ‘9VoAvR7G’».
Окна обнаружения сокращаются
Анализ Microsoft подчеркивает проблемы защиты, создаваемые самораспространяющимися программами-вымогателями. Как только начинается выполнение, время, доступное для обнаружения, расследования и сдерживания вредоносной активности, может значительно сократиться по мере распространения вредоносного ПО на дополнительные системы.
«Это не тот тип угрозы, при котором организация может ждать заявки в службу поддержки или заблокированного экрана, чтобы понять, что что-то не так», — сказал Джон Джойнер, старший директор по технологиям в Corsica Technologies. «Вредоносное ПО может быстро перемещаться по сети, как только получит точку опоры, что делает раннее обнаружение разницей между локализованным инцидентом и сбоем в работе всего бизнеса».
Microsoft подчеркнула важность мониторинга активности бокового перемещения, злоупотребления учетными данными, попыток удаленного выполнения и другого поведения, связанного с распространением Gentlemen, вместо того чтобы сосредотачиваться исключительно на событиях шифрования.
Кроме того, она предоставила список индикаторов компрометации (IOC) для поддержки усилий по обнаружению. Для тех, кто не успевает вовремя, вымогатель оставляет записку. «Ваша сеть заблокирована Gentlemen», — гласит надпись на обоях рабочего стола на машинах жертв.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma




