Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le collectif de ransomware The Gentlemen est apparu en juillet 2025, menant une opération de double extorsion qui chiffrait les données des victimes et siphonnait des informations sensibles. Le malware est multiplateforme, ciblant les environnements Windows, Linux et ESXi, et inclut des capacités de redémarrage automatique, de persistance au démarrage, et un réglage configurable du chiffrement. La propagation s’appuie sur WMI, PowerShell remoting, SCHTASKS et d’autres outils d’administration Windows intégrés. Les opérateurs gèrent The Gentlemen comme une offre RaaS, fournissant aux affiliés de nombreuses options de réglage et de personnalisation.
Analyse de l’attaque du ransomware The Gentlemen
L’analyse de Cybereason d’un échantillon Windows 64 bits en Golang a documenté ses commutateurs de ligne de commande, le texte de la note de rançon intégrée, et un ensemble large de routines PowerShell anti-forensiques. Les chercheurs ont également identifié des emplacements de registre utilisés pour la persistance, une « kill list » de services visant à désactiver des processus critiques, et la dépendance aux binaires natifs de Windows pour l’élévation des privilèges et le déplacement latéral. Le pipeline de chiffrement repose sur XChaCha20 et Curve25519.
Atténuation
Les mesures de défense suggérées incluent l’application de l’authentification multi-facteurs, le maintien de sauvegardes fréquentes hors ligne, l’application rapide des correctifs de sécurité et le renforcement des contrôles d’exécution PowerShell et WMI. Les piles de protection des points de terminaison devraient activer des protections anti-malware et anti-ransomware en temps réel, ainsi qu’une protection pour les copies de l’ombre VSS. Les équipes de sécurité devraient également surveiller les modifications anormales du registre, les tâches planifiées nouvellement créées et les schémas caractéristiques de commandes PowerShell.
Réponse
Lorsqu’une activité du ransomware The Gentlemen est identifiée, isolez immédiatement le système impacté, capturez la mémoire volatile, et collectez les artefacts clés, comme les entrées de registre, les tâches planifiées, et les journaux d’événements PowerShell. Effectuez l’acquisition forensic de notes de rançon et de fichiers chiffrés, puis restaurez les systèmes affectés à partir de sauvegardes de confiance une fois l’éradication vérifiée. Faites appel aux équipes d’intervention en cas d’incident pour enquêter sur les chemins de déplacement latéraux et les preuves d’exfiltration de données.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes – Actions / Techniques initial_access[« <b>Action</b> – Accès initial via un point d’appui existant »] class initial_access action dll_sideload[« <b>Technique</b> – <b>T1574.001 Détournement du flux d’exécution : DLL</b><br/>OneDrive.exe charge la DLL malveillante SSPICLI.dll via le détournement de DLL »] class dll_sideload technique powershell[« <b>Technique</b> – <b>T1059.001 Interpréteur de commandes et de scripts : PowerShell</b><br/>Des commandes PowerShell encodées en Base64 sont exécutées pour des vérifications réseau et la copie de fichiers »] class powershell technique office_macro[« <b>Technique</b> – <b>T1137.001 Démarrage d’application Office : macros de modèles Office</b><br/>Une macro VBA est placée dans %APPDATA%\\Microsoft\\Outlook\\VbaProject.OTM »] class office_macro technique vba_stomping[« <b>Technique</b> – <b>T1564.007 Masquage d’artefacts : VBA Stomping</b><br/>La macro surveille les e‑mails entrants (Application_NewMailEx) pour des déclencheurs C2 et exfiltre des données »] class vba_stomping technique vb_interpreter[« <b>Technique</b> – <b>T1059.005 Interpréteur de commandes et de scripts : Visual Basic</b><br/>Le code VBA exécute des commandes et communique via Outlook »] class vb_interpreter technique %% Nodes – Files / Objects file_oneDrive[« <b>Fichier</b> – OneDrive.exe »] class file_oneDrive file file_sspicli[« <b>Fichier</b> – SSPICLI.dll »] class file_sspicli file file_vba[« <b>Fichier</b> – VbaProject.OTM »] class file_vba file email_monitor[« <b>Objet</b> – Application Outlook<br/>Surveille les e‑mails entrants (Application_NewMailEx) »] class email_monitor action outlook_comm[« <b>Objet</b> – Outlook<br/>Communique avec le C2 et exfiltre des données »] class outlook_comm action %% Connections – Flow of the attack initial_access u002du002du003e|mène à| dll_sideload dll_sideload u002du002du003e|utilise| file_oneDrive dll_sideload u002du002du003e|charge| file_sspicli dll_sideload u002du002du003e|déclenche| powershell powershell u002du002du003e|mène à| office_macro office_macro u002du002du003e|place| file_vba office_macro u002du002du003e|active| vba_stomping office_macro u002du002du003e|active| vb_interpreter vba_stomping u002du002du003e|surveille| email_monitor vb_interpreter u002du002du003e|communique_via| outlook_comm
Flux d’attaque
Détections
Détection de la persistance et de la propagation du ransomware The Gentlemen [Création de processus Windows]
Voir
Détecter les commandes PowerShell utilisées par le ransomware « The Gentlemen » [Powershell Windows]
Voir
Changements suspects des préférences de Windows Defender (via powershell)
Voir
Utilisation possible de PING pour l’exécution différée (via la ligne de commande)
Voir
Points de persistance possibles [ASEPs – Hive Software/NTUSER] (via registry_event)
Voir
Exécution de Simulation
Prérequis : Le contrôle préalable de télémétrie et de base doit être réussi.
Rationale : Cette section décrit l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Récit de l’attaque et commandes :
- Objectif :Désactiver la protection en temps réel de Windows Defender et ajouter un chemin d’exclusion pour permettre à la charge utile du ransomware d’écrire des fichiers chiffrés sans entrave.
-
Méthode :Utiliser un PowerShell
Invoke‑Commandavec un bloc de script inline qui exécute les deux commandes de préférence de Defender. Cela reflète la syntaxe exacte observée dans les échantillons de ransomware « The Gentlemen ». -
Étapes :
- Ouvrez une session PowerShell avec des privilèges élevés.
- Exécutez le
Invoke‑Commandqui contient le bloc de script malveillant. - Vérifiez que la surveillance en temps réel de Defender est désactivée et que l’exclusion pour
C:est ajoutée. - (Facultatif) Créez un fichier chiffré factice pour émuler l’activité du ransomware.
-
Script de Test de Régression :Le script PowerShell autonome suivant reproduit l’attaque exactement comme la règle s’y attend.
# ------------------------------------------------------------------ # Script de test pour déclencher la règle Sigma « Détecter les commandes PowerShell Utilisées par # 'The Gentlemen' Ransomware » # ------------------------------------------------------------------ # Assurez-vous que le script s'exécute en tant qu'administrateur if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Exécutez ce script avec des privilèges élevés (Administrateur)." exit 1 } # 1️⃣ Désactivez la surveillance en temps réel Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Ajoutez une exclusion pour le lecteur C: Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Facultatif) Simulez la création de fichier ransomware $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulation terminée. Defender devrait maintenant être désactivé et l'exclusion ajoutée." -
Commandes de nettoyage :Restaurez Defender à son état par défaut et supprimez les artefacts de test.
# ------------------------------------------------------------------ # Script de nettoyage – réactivez Defender et supprimez les fichiers de test # ------------------------------------------------------------------ # Réactivation de la surveillance en temps réel Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Supprimez l'exclusion C: Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Supprimez le fichier chiffré fictif et le dossier $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Nettoyage terminé. Paramètres de Defender restaurés."