Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il collettivo di ransomware The Gentlemen è emerso a luglio 2025, eseguendo un’operazione di doppia estorsione che crittografava i dati delle vittime e sottraeva informazioni sensibili. Il malware è multipiattaforma, prendendo di mira ambienti Windows, Linux ed ESXi, e include funzionalità di auto-riavvio, persistenza all’avvio e limitazione configurabile della crittografia. La propagazione si basa su WMI, PowerShell remoting, SCHTASKS e altri strumenti di amministrazione integrati di Windows. Gli operatori gestiscono The Gentlemen come un’offerta RaaS, fornendo agli affiliati ampie opzioni di tuning e personalizzazione.
Analisi dell’Attacco Ransomware The Gentlemen
L’analisi di Cybereason di un campione Windows a 64 bit in Golang ha documentato i suoi switch da riga di comando, il testo della nota di riscatto incorporato e un ampio set di routine PowerShell anti-forensi. I ricercatori hanno anche individuato le posizioni del registro utilizzate per la persistenza, una lista di “kill” dei servizi mirata a disabilitare i processi critici e l’affidamento su binari Windows nativi per l’escalation dei privilegi e il movimento laterale. La pipeline di crittografia è costruita su XChaCha20 e Curve25519.
Mitigazione
Le misure difensive suggerite includono l’applicazione dell’autenticazione multifattore, il mantenimento di frequenti backup offline, l’applicazione tempestiva delle patch di sicurezza e il rafforzamento dei controlli di esecuzione di PowerShell e WMI. Gli stack di protezione degli endpoint dovrebbero abilitare il monitoraggio in tempo reale anti-malware, le protezioni anti-ransomware e la protezione delle copie shadow di VSS. I team di sicurezza dovrebbero anche monitorare le modifiche anomale al registro, le attività pianificate di nuova creazione e i modelli di comando caratteristici di PowerShell.
Risposta
Quando viene identificata l’attività del ransomware The Gentlemen, isolare immediatamente il sistema interessato, catturare la memoria volatile e raccogliere artefatti chiave, come voci di registro, attività pianificate e log degli eventi PowerShell. Eseguire l’acquisizione forense delle note di riscatto e dei file crittografati, quindi ripristinare i sistemi interessati da backup affidabili una volta verificata l’eradicazione. Coinvolgere i team di risposta agli incidenti per indagare sui percorsi di movimento laterale e le prove di esfiltrazione dei dati.
graph TB %% Definizioni delle classi classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodi – Azioni / Tecniche initial_access[“<b>Azione</b> – Accesso iniziale tramite foothold esistente”] class initial_access action dll_sideload[“<b>Tecnica</b> – <b>T1574.001 Hijack Execution Flow: DLL</b><br/>OneDrive.exe carica la DLL malevola SSPICLI.dll tramite DLL sideloading”] class dll_sideload technique powershell[“<b>Tecnica</b> – <b>T1059.001 Interprete di comandi e scripting: PowerShell</b><br/>Comandi PowerShell codificati in Base64 eseguiti per controlli di rete e copia di file”] class powershell technique office_macro[“<b>Tecnica</b> – <b>T1137.001 Avvio applicazioni Office: Macro dei modelli Office</b><br/>Macro VBA inserita in %APPDATA%\\Microsoft\\Outlook\\VbaProject.OTM”] class office_macro technique vba_stomping[“<b>Tecnica</b> – <b>T1564.007 Nascondere artefatti: VBA Stomping</b><br/>La macro monitora la posta in arrivo (Application_NewMailEx) per trigger C2 ed esfiltra i dati”] class vba_stomping technique vb_interpreter[“<b>Tecnica</b> – <b>T1059.005 Interprete di comandi e scripting: Visual Basic</b><br/>Il codice VBA esegue comandi e comunica tramite Outlook”] class vb_interpreter technique %% Nodi – File / Oggetti file_oneDrive[“<b>File</b> – OneDrive.exe”] class file_oneDrive file file_sspicli[“<b>File</b> – SSPICLI.dll”] class file_sspicli file file_vba[“<b>File</b> – VbaProject.OTM”] class file_vba file email_monitor[“<b>Oggetto</b> – Applicazione Outlook<br/>Monitora la posta in arrivo (Application_NewMailEx)”] class email_monitor action outlook_comm[“<b>Oggetto</b> – Outlook<br/>Comunica con il C2 ed esfiltra i dati”] class outlook_comm action %% Connessioni – Flusso dell’attacco initial_access –>|porta_a| dll_sideload dll_sideload –>|usa| file_oneDrive dll_sideload –>|carica| file_sspicli dll_sideload –>|attiva| powershell powershell –>|porta_a| office_macro office_macro –>|posiziona| file_vba office_macro –>|abilita| vba_stomping office_macro –>|abilita| vb_interpreter vba_stomping –>|monitora| email_monitor vb_interpreter –>|comunica_tramite| outlook_comm
Flusso d’attacco
Rilevamenti
Rilevamento della persistenza e propagazione del ransomware The Gentlemen [Creazione Processi Windows]
Visualizza
Rileva i comandi PowerShell usati dal ransomware “The Gentlemen” [Windows Powershell]
Visualizza
Modifiche sospette alle preferenze di Windows Defender (tramite PowerShell)
Visualizza
Possibile utilizzo di PING per ritardo nell’esecuzione (tramite cmdline)
Visualizza
Possibili punti di persistenza [ASEPs – Hive Software/NTUSER] (tramite registry_event)
Visualizza
Esecuzione Simulazione
Prerequisito: Il controllo Pre-volo Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa e comandi dell’attacco:
- Obiettivo: Disabilitare la protezione in tempo reale di Windows Defender e aggiungere un percorso di esclusione per permettere al payload del ransomware di scrivere file crittografati senza ostacoli.
-
Metodo: Utilizzare un PowerShell
Invoke‑Commandcon un blocco di script inline che esegue i due comandi di preferenza di Defender. Questo rispecchia la sintassi esatta osservata nei campioni di ransomware “The Gentlemen”. -
Passaggi:
- Aprire una sessione PowerShell con privilegi elevati.
- Eseguire il
Invoke‑Commandche contiene il blocco di script malevolo. - Verificare che il monitoraggio in tempo reale di Defender sia disabilitato e che l’esclusione per
C:sia aggiunta. - (Opzionale) Creare un file crittografato di prova per emulare l’attività del ransomware.
-
Script di Test di Regressione: Il seguente script PowerShell auto-contenuto riproduce l’attacco esattamente come atteso dalla regola.
# ------------------------------------------------------------------ # Test script to trigger Sigma rule "Detect PowerShell Commands Used by # 'The Gentlemen' Ransomware" # ------------------------------------------------------------------ # Ensure script runs as Administrator if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Run this script with elevated (Administrator) privileges." exit 1 } # 1️⃣ Disable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Add exclusion for the C: drive Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Optional) Simulate ransomware file creation $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulation completed. Defender should now be disabled and exclusion added." -
Comandi di Pulizia: Ripristina Defender al suo stato predefinito e rimuovi gli artefatti di test.
# ------------------------------------------------------------------ # Cleanup script – re‑enable Defender and delete test files # ------------------------------------------------------------------ # Re‑enable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Remove the C: exclusion Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Delete dummy encrypted file and folder $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Cleanup completed. Defender settings restored."