SOC Prime Bias: Alto

03 Jun 2026 16:38 UTC
newspaper icon AttackIQ

Exploração da Emulação do Ransomware Gentlemen

Author Photo
SOC Prime Team linkedin icon Seguir
Exploração da Emulação do Ransomware Gentlemen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O grupo de ransomware Gentlemen está ativo desde julho de 2025 e segue um modelo de dupla extorsão, combinando criptografia de arquivos com roubo de dados e extorsão por meio de vazamentos em sites. O malware é escrito em Go, suporta ambientes Windows, Linux e ESXi, e utiliza um argumento de senha embutido durante o processo de criptografia. Os operadores também contam com reconhecimento amplo, abuso de Objetos de Política de Grupo e ferramentas legítimas como o WinSCP para mover e exfiltrar dados em forma criptografada.

Investigação

A AttackIQ publicou uma emulação que recria as táticas, técnicas e procedimentos descritos por múltiplos fornecedores de segurança, abrangendo acesso inicial, persistência, evasão de defesas, descoberta, movimento lateral e impacto. A emulação inclui comportamentos como a criação de tarefas agendadas, chaves Run no registro, serviços maliciosos, alterações em regras de firewall e exclusão de cópias sombra de volume.

Mitigação

Os defensores devem observar atividades suspeitas do PowerShell, criação inesperada de tarefas agendadas, alterações no registro relacionadas a sessões nulas e exclusões do Microsoft Defender, e tentativas de habilitar o SMBv1. A segmentação de rede e controles de acesso de menor privilégio podem ajudar a limitar a capacidade do grupo de se mover lateralmente através de recursos compartilhados.

Resposta

Se atividades relacionadas aos Gentlemen forem detectadas, isole o sistema afetado imediatamente, colete evidências voláteis, preserve a amostra de ransomware e os artefatos associados no registro, e inicie os procedimentos de resposta a incidentes para recuperar cópias sombra e logs de eventos a partir de backups se possível. Uma investigação forense completa também deve ser realizada para identificar roubo de credenciais e qualquer movimento lateral pelo ambiente.

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef builtin fill:#dddddd %% Action nodes act_system_info[“<b>Ação</b> – <b>T1082 Descoberta de informação do sistema</b><br/>Coletar versão do sistema operacional, hostname e outros detalhes do host”] class act_system_info action act_persistence[“<b>Ação</b> – Persistência”] class act_persistence action act_scheduled_task[“<b>Ação</b> – <b>T1053.005 Tarefa agendada</b><br/>Criar tarefa que executa na inicialização”] class act_scheduled_task action act_registry_run[“<b>Ação</b> – <b>T1547.001 Chaves Run do Registro / Pasta de inicialização</b><br/>Adicionar chave Run em HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”] class act_registry_run action act_windows_service[“<b>Ação</b> – <b>T1543.003 Serviço do Windows</b><br/>Criar novo serviço via sc.exe”] class act_windows_service action act_defense_evasion[“<b>Ação</b> – Evasão de defesa”] class act_defense_evasion action act_disable_defender[“<b>Ação</b> – <b>T1562.001 Desativar ou modificar ferramentas</b><br/>Desativar proteção em tempo real do Windows Defender”] class act_disable_defender action act_add_exclusions[“<b>Ação</b> – <b>T1562.001 Desativar ou modificar ferramentas</b><br/>Adicionar exclusões de processo e diretório via Set-MpPreference”] class act_add_exclusions action act_enable_firewall[“<b>Ação</b> – Habilitar descoberta de rede irrestrita”] class act_enable_firewall action act_discovery[“<b>Ação</b> – Fase de descoberta”] class act_discovery action act_ad_domain[“<b>Ação</b> – <b>T1482 Descoberta de confiança de domínio</b><br/>Consultar informações de domínio AD com Get-ADDomain”] class act_ad_domain action act_ad_computers[“<b>Ação</b> – <b>T1018 Descoberta de sistemas remotos</b><br/>Enumerar computadores do domínio com Get-ADComputer”] class act_ad_computers action act_wmi_info[“<b>Ação</b> – <b>T1082 Descoberta de sistema</b><br/>Coleta de dados via WMI”] class act_wmi_info action act_file_enum[“<b>Ação</b> – <b>T1083 Descoberta de arquivos</b><br/>Enumerar arquivos com FindFirstFileW/FindNextFileW”] class act_file_enum action act_volume_disc[“<b>Ação</b> – <b>T1680 Descoberta de armazenamento local</b><br/>Enumerar volumes com Win32_Volume e Get-PSDrive”] class act_volume_disc action act_network_share[“<b>Ação</b> – <b>T1049 Descoberta de compartilhamentos de rede</b><br/>Descobrir shares via WNetOpenEnum/WNetEnumResource”] class act_network_share action act_lateral_movement[“<b>Ação</b> – Movimento lateral”] class act_lateral_movement action act_create_share[“<b>Ação</b> – <b>T1021 Serviços remotos</b><br/>Criar share SMB oculto com acesso total via net share”] class act_create_share action act_modify_acls[“<b>Ação</b> – <b>T1222.001 Descoberta de grupos de permissões</b><br/>Conceder acesso anônimo total com icacls”] class act_modify_acls action act_null_session[“<b>Ação</b> – <b>T1556.009 Manipulação de token de acesso</b><br/>Modificar chaves NullSessionShares e configurações anônimas no registro”] class act_null_session action act_copy_payload[“<b>Ação</b> – Copiar payload de ransomware para host remoto”] class act_copy_payload action act_execute_wmi[“<b>Ação</b> – <b>T1047 WMI</b><br/>Executar payload remotamente via WMI/WMIC”] class act_execute_wmi action act_impact[“<b>Ação</b> – Fase de impacto”] class act_impact action act_delete_shadow[“<b>Ação</b> – <b>T1490 Impedir recuperação do sistema</b><br/>Excluir cópias sombra com wmic e vssadmin”] class act_delete_shadow action act_clear_logs[“<b>Ação</b> – <b>T1070.001 Limpar logs do Windows</b><br/>Limpar registros com wevtutil.exe”] class act_clear_logs action act_encrypt_files[“<b>Ação</b> – <b>T1486 Criptografia de dados para impacto</b><br/>Criptografar arquivos com XChaCha20 e proteger chaves com Curve25519”] class act_encrypt_files action %% Connections act_system_info –>|leva a| act_persistence act_persistence –>|cria| act_scheduled_task act_persistence –>|cria| act_registry_run act_persistence –>|cria| act_windows_service act_persistence –>|leva a| act_defense_evasion act_defense_evasion –>|usa| act_disable_defender act_defense_evasion –>|usa| act_add_exclusions act_defense_evasion –>|usa| act_enable_firewall act_defense_evasion –>|leva a| act_discovery act_discovery –>|inclui| act_ad_domain act_discovery –>|inclui| act_ad_computers act_discovery –>|inclui| act_wmi_info act_discovery –>|inclui| act_file_enum act_discovery –>|inclui| act_volume_disc act_discovery –>|inclui| act_network_share act_discovery –>|leva a| act_lateral_movement act_lateral_movement –>|cria| act_create_share act_lateral_movement –>|modifica| act_modify_acls act_lateral_movement –>|modifica| act_null_session act_lateral_movement –>|copia| act_copy_payload act_lateral_movement –>|executa| act_execute_wmi act_execute_wmi –>|leva a| act_impact act_impact –>|inclui| act_delete_shadow act_impact –>|inclui| act_clear_logs act_impact –>|inclui| act_encrypt_files

Fluxo de Ataque

Execução da Simulação

Pré-requisito: A verificação pré-voo de Telemetria e Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e o narrativo DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

Narrativa do Ataque & Comandos

Um adversário que obteve execução de baixo privilégio em um servidor Windows associado a um domínio deseja preparar o ambiente para a implantação do ransomware. Eles usam cmdlets nativos do PowerShell para:

  1. Desabilitar proteção em tempo real (Set-MpPreference).
  2. Abrir portas de firewall (Enable-NetFirewallRule).
  3. Habilitar recursos adicionais do Windows (Import-Module ServerManager + Enable-WindowsOptionalFeature).
  4. Colher informações de domínio (Get-ADDomain, Get-ADComputer).
  5. Enumerar detalhes do sistema (Get-WmiObject Win32_ComputerSystem, Get-PSDrive).
  6. Copiar cargas maliciosas para um compartilhamento remoto (Copy-Item).

Cada passo é executado em um processo PowerShell separado para assegurar que a linha de comando de cada processo contenha uma das strings que a regra Sigma observa, gerando assim a telemetria necessária.

Script de Teste de Regressão

# -------------------------------------------------
# Script de Simulação – aciona regra de detecção de ransomware Gentlemen
# -------------------------------------------------
# NOTA: Execute isso em um host Windows isolado e não de produção.

# 1. Desativar o Monitoramento em tempo real do Windows Defender
powershell.exe -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 2. Habilitar uma regra de firewall (por exemplo, permitir SMB de entrada)
powershell.exe -Command "Enable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'"

# 3. Instalar o módulo Server Manager e habilitar uma funcionalidade do Windows
powershell.exe -Command "Import-Module ServerManager; Enable-WindowsOptionalFeature -Online -FeatureName TelnetClient -NoRestart"

# 4. Enumerar informações do domínio AD
powershell.exe -Command "Get-ADDomain | Out-Null"

# 5. Listar computadores AD (descoberta)
powershell.exe -Command "Get-ADComputer -Filter * | Select-Object Name | Out-Null"

# 6. Consultar WMI para detalhes do sistema
powershell.exe -Command "Get-WmiObject Win32_ComputerSystem | Out-Null"

# 7. Mostrar drives PS atuais
powershell.exe -Command "Get-PSDrive | Out-Null"

# 8. Copiar um arquivo fictício para um compartilhamento remoto para simular movimento lateral
#    (Substitua REMOTE-SERVIDORCompartilhamento por um compartilhamento SMB acessível em seu laboratório)
$dummy = "$env:TEMPdummy.txt"
"test" | Out-File -FilePath $dummy -Encoding ASCII
powershell.exe -Command "Copy-Item -Path '$dummy' -Destination '\REMOTE-SERVIDORCompartilhamentodummy.txt'"

# Limpar o arquivo fictício localmente
Remove-Item $dummy -Force

Comandos de Limpeza

# -------------------------------------------------
# Script de Limpeza – restaura o host para seu estado pré-teste
# -------------------------------------------------
# Habilitar novamente a proteção em tempo real do Windows Defender
Set-MpPreference -DisableRealtimeMonitoring $false

# Desativar a regra de firewall adicionada acima (se ainda presente)
Disable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'

# Remover o arquivo fictício do compartilhamento remoto (requer permissão de gravação)
Remove-Item -Path 'REMOTE-SERVIDORCompartilhamentodummy.txt' -Force -ErrorAction SilentlyContinue

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente