Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die Ransomware-Gruppe The Gentlemen tauchte im Juli 2025 auf und betrieb eine Dual-Extortion-Operation, die sowohl die Daten der Opfer verschlüsselte als auch sensible Informationen abschöpfte. Die Malware ist plattformübergreifend, zielt auf Windows-, Linux- und ESXi-Umgebungen ab und verfügt über Selbstneustartfähigkeiten, Persistenz beim Starten und konfigurierbare Verschlüsselungsdrosselung. Die Verbreitung erfolgt über WMI, PowerShell-Remoting, SCHTASKS und andere integrierte Windows-Administrationstools. Die Betreiber bieten The Gentlemen als RaaS-Angebot an und stellen Partnern umfangreiche Anpassungs- und Optimierungsoptionen zur Verfügung.
Analyse des Angriffs durch die Gentlemen-Ransomware
Cybereasons Analyse eines 64-Bit Golang Windows Musters dokumentierte seine Kommandozeilenschalter, eingebetteten Lösegeldtext und eine breite Palette von Anti-Forensik PowerShell Routinen. Die Forscher identifizierten auch Registry-Lokationen für die Persistenz, eine Dienst-„Kill-Liste“ zum Deaktivieren kritischer Prozesse und die Nutzung nativer Windows-Binärdateien für die Privilegieneskalation und laterale Bewegungen. Die Verschlüsselungspipeline basiert auf XChaCha20 und Curve25519.
Abmilderung
Vorgeschlagene Abwehrmaßnahmen beinhalten die Durchsetzung von Multi-Faktor-Authentifizierung, regelmäßige Offline-Backups, sofortiges Anwenden von Sicherheitsupdates und das Verschärfen von PowerShell- und WMI-Ausführungskontrollen. Endpunktschutzstapel sollten Echtzeit-Anti-Malware- und Anti-Ransomware-Schutz sowie Schutz für VSS-Shadow-Kopien aktivieren. Sicherheitsteams sollten auch auf anomale Registry-Änderungen, neu erstellte geplante Aufgaben und charakteristische PowerShell-Befehlsmuster achten.
Reaktion
Wenn Aktivitäten der Gentlemen-Ransomware erkannt werden, sollten betroffene Systeme sofort isoliert, flüchtiger Speicher erfasst und wesentliche Artefakte wie Registry-Einträge, geplante Aufgaben und PowerShell-Ereignisprotokolle gesammelt werden. Führen Sie forensische Erfassungen von Lösegeldnoten und verschlüsselten Dateien durch und stellen Sie betroffene Systeme aus vertrauenswürdigen Backups wieder her, sobald die Entfernungsmaßnahmen überprüft sind. Beziehen Sie Incident-Response-Teams ein, um laterale Bewegungswege und Hinweise auf Datenexfiltration zu untersuchen.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes – Actions / Techniques initial_access[„<b>Action</b> – Initialer Zugriff über bestehenden Zugriffspunkt“] class initial_access action dll_sideload[„<b>Technique</b> – <b>T1574.001 Hijack Execution Flow: DLL</b><br/>OneDrive.exe lädt die bösartige SSPICLI.dll mittels DLL-Sideloading“] class dll_sideload technique powershell[„<b>Technique</b> – <b>T1059.001 Command and Scripting Interpreter: PowerShell</b><br/>Base64-codierte PowerShell-Befehle werden für Netzwerkprüfungen und Dateikopien ausgeführt“] class powershell technique office_macro[„<b>Technique</b> – <b>T1137.001 Office Application Startup: Office Template Macros</b><br/>VBA-Makro wird in %APPDATA%\\Microsoft\\Outlook\\VbaProject.OTM abgelegt“] class office_macro technique vba_stomping[„<b>Technique</b> – <b>T1564.007 Hide Artifacts: VBA Stomping</b><br/>Makro überwacht eingehende E-Mails (Application_NewMailEx) auf C2-Trigger und exfiltriert Daten“] class vba_stomping technique vb_interpreter[„<b>Technique</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>VBA-Code führt Befehle aus und kommuniziert über Outlook“] class vb_interpreter technique %% Nodes – Files / Objects file_oneDrive[„<b>File</b> – OneDrive.exe“] class file_oneDrive file file_sspicli[„<b>File</b> – SSPICLI.dll“] class file_sspicli file file_vba[„<b>File</b> – VbaProject.OTM“] class file_vba file email_monitor[„<b>Object</b> – Outlook-Anwendung<br/>Überwacht eingehende E-Mails (Application_NewMailEx)“] class email_monitor action outlook_comm[„<b>Object</b> – Outlook<br/>Kommuniziert mit C2 und exfiltriert Daten“] class outlook_comm action %% Connections – Flow of the attack initial_access –>|führt zu| dll_sideload dll_sideload –>|nutzt| file_oneDrive dll_sideload –>|lädt| file_sspicli dll_sideload –>|löst aus| powershell powershell –>|führt zu| office_macro office_macro –>|platziert| file_vba office_macro –>|aktiviert| vba_stomping office_macro –>|aktiviert| vb_interpreter vba_stomping –>|überwacht| email_monitor vb_interpreter –>|kommuniziert über| outlook_comm
Angriffsablauf
Erkennungen
Erkennung der Persistenz und Verbreitung durch die Gentlemen-Ransomware [Windows-Prozesserstellung]
Ansehen
Erkennen von PowerShell-Befehlen, die von der Gentlemen-Ransomware verwendet werden [Windows Powershell]
Ansehen
Verdächtige Änderungen in den Windows Defender-Einstellungen (über PowerShell)
Ansehen
Mögliche Nutzung von PING für verzögerte Ausführung (über cmdline)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansehen
Simulation der Ausführung
Voraussetzung: Der Telemetrie- und Basisflight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und der begleitende Text MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungsmethodik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Ziel: Deaktivieren Sie den Echtzeitschutz von Windows Defender und fügen Sie einen Ausschlusspfad hinzu, um zu erlauben, dass die Ransomware-Nutzlast ungehindert verschlüsselte Dateien schreibt.
- Methode: Verwenden Sie ein PowerShell
Invoke‑Commandmit einem Inline-Skriptblock, der die beiden Defender-Präferenzbefehle ausführt. Dies spiegelt die genaue Syntax wider, die in den Proben der ‚The Gentlemen‘-Ransomware beobachtet wurde. - Schritte:
- Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.
- Führen Sie den
Invoke‑Commandaus, der den bösartigen Skriptblock enthält. - Überprüfen Sie, ob die Echtzeitüberwachung von Defender deaktiviert ist und der Ausschluss für
C:hinzugefügt wurde. - (Optional) Erstellen Sie eine Dummy-verschlüsselte Datei, um Ransomware-Aktivität zu simulieren.
-
Regressionstest-Skript: Das folgende eigenständige PowerShell-Skript reproduziert den Angriff genau so, wie es die Regel erwartet.
# ------------------------------------------------------------------ # Test script to trigger Sigma rule "Detect PowerShell Commands Used by # 'The Gentlemen' Ransomware" # ------------------------------------------------------------------ # Ensure script runs as Administrator if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Run this script with elevated (Administrator) privileges." exit 1 } # 1️⃣ Disable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Add exclusion for the C: drive Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Optional) Simulate ransomware file creation $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulation completed. Defender should now be disabled and exclusion added." -
Bereinigungsbefehle: Stellen Sie Defender in den Standardzustand zurück und entfernen Sie Testartefakte.
# ------------------------------------------------------------------ # Cleanup script – re‑enable Defender and delete test files # ------------------------------------------------------------------ # Re‑enable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Remove the C: exclusion Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Delete dummy encrypted file and folder $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Cleanup completed. Defender settings restored."