Lizenz zum Verschlüsseln: Wenn „Die Gentlemen“ in die Offensive gehen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die Ransomware-Gruppe The Gentlemen tauchte im Juli 2025 auf und betrieb eine Dual-Extortion-Operation, die sowohl die Daten der Opfer verschlüsselte als auch sensible Informationen abschöpfte. Die Malware ist plattformübergreifend, zielt auf Windows-, Linux- und ESXi-Umgebungen ab und verfügt über Selbstneustartfähigkeiten, Persistenz beim Starten und konfigurierbare Verschlüsselungsdrosselung. Die Verbreitung erfolgt über WMI, PowerShell-Remoting, SCHTASKS und andere integrierte Windows-Administrationstools. Die Betreiber bieten The Gentlemen als RaaS-Angebot an und stellen Partnern umfangreiche Anpassungs- und Optimierungsoptionen zur Verfügung.
Analyse des Angriffs durch die Gentlemen-Ransomware
Cybereasons Analyse eines 64-Bit Golang Windows Musters dokumentierte seine Kommandozeilenschalter, eingebetteten Lösegeldtext und eine breite Palette von Anti-Forensik PowerShell Routinen. Die Forscher identifizierten auch Registry-Lokationen für die Persistenz, eine Dienst-„Kill-Liste“ zum Deaktivieren kritischer Prozesse und die Nutzung nativer Windows-Binärdateien für die Privilegieneskalation und laterale Bewegungen. Die Verschlüsselungspipeline basiert auf XChaCha20 und Curve25519.
Abmilderung
Vorgeschlagene Abwehrmaßnahmen beinhalten die Durchsetzung von Multi-Faktor-Authentifizierung, regelmäßige Offline-Backups, sofortiges Anwenden von Sicherheitsupdates und das Verschärfen von PowerShell- und WMI-Ausführungskontrollen. Endpunktschutzstapel sollten Echtzeit-Anti-Malware- und Anti-Ransomware-Schutz sowie Schutz für VSS-Shadow-Kopien aktivieren. Sicherheitsteams sollten auch auf anomale Registry-Änderungen, neu erstellte geplante Aufgaben und charakteristische PowerShell-Befehlsmuster achten.
Reaktion
Wenn Aktivitäten der Gentlemen-Ransomware erkannt werden, sollten betroffene Systeme sofort isoliert, flüchtiger Speicher erfasst und wesentliche Artefakte wie Registry-Einträge, geplante Aufgaben und PowerShell-Ereignisprotokolle gesammelt werden. Führen Sie forensische Erfassungen von Lösegeldnoten und verschlüsselten Dateien durch und stellen Sie betroffene Systeme aus vertrauenswürdigen Backups wieder her, sobald die Entfernungsmaßnahmen überprüft sind. Beziehen Sie Incident-Response-Teams ein, um laterale Bewegungswege und Hinweise auf Datenexfiltration zu untersuchen.
Angriffsablauf
Erkennungen
Erkennung der Persistenz und Verbreitung durch die Gentlemen-Ransomware [Windows-Prozesserstellung]
Ansehen
Erkennen von PowerShell-Befehlen, die von der Gentlemen-Ransomware verwendet werden [Windows Powershell]
Ansehen
Verdächtige Änderungen in den Windows Defender-Einstellungen (über PowerShell)
Ansehen
Mögliche Nutzung von PING für verzögerte Ausführung (über cmdline)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansehen
Simulation der Ausführung
Voraussetzung: Der Telemetrie- und Basisflight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und der begleitende Text MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungsmethodik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Ziel: Deaktivieren Sie den Echtzeitschutz von Windows Defender und fügen Sie einen Ausschlusspfad hinzu, um zu erlauben, dass die Ransomware-Nutzlast ungehindert verschlüsselte Dateien schreibt.
- Methode: Verwenden Sie ein PowerShell
Invoke‑Commandmit einem Inline-Skriptblock, der die beiden Defender-Präferenzbefehle ausführt. Dies spiegelt die genaue Syntax wider, die in den Proben der ‚The Gentlemen‘-Ransomware beobachtet wurde. - Schritte:
- Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.
- Führen Sie den
Invoke‑Commandaus, der den bösartigen Skriptblock enthält. - Überprüfen Sie, ob die Echtzeitüberwachung von Defender deaktiviert ist und der Ausschluss für
C:hinzugefügt wurde. - (Optional) Erstellen Sie eine Dummy-verschlüsselte Datei, um Ransomware-Aktivität zu simulieren.
-
Regressionstest-Skript: Das folgende eigenständige PowerShell-Skript reproduziert den Angriff genau so, wie es die Regel erwartet.
# ------------------------------------------------------------------ # Test script to trigger Sigma rule "Detect PowerShell Commands Used by # 'The Gentlemen' Ransomware" # ------------------------------------------------------------------ # Ensure script runs as Administrator if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Run this script with elevated (Administrator) privileges." exit 1 } # 1️⃣ Disable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Add exclusion for the C: drive Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Optional) Simulate ransomware file creation $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulation completed. Defender should now be disabled and exclusion added." -
Bereinigungsbefehle: Stellen Sie Defender in den Standardzustand zurück und entfernen Sie Testartefakte.
# ------------------------------------------------------------------ # Cleanup script – re‑enable Defender and delete test files # ------------------------------------------------------------------ # Re‑enable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Remove the C: exclusion Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Delete dummy encrypted file and folder $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Cleanup completed. Defender settings restored."