SOC Prime Bias: Hoch

21 Nov 2025 16:30 UTC

Lizenz zum Verschlüsseln: Wenn „Die Gentlemen“ in die Offensive gehen

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Lizenz zum Verschlüsseln: Wenn „Die Gentlemen“ in die Offensive gehen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Die Ransomware-Gruppe The Gentlemen tauchte im Juli 2025 auf und betrieb eine Dual-Extortion-Operation, die sowohl die Daten der Opfer verschlüsselte als auch sensible Informationen abschöpfte. Die Malware ist plattformübergreifend, zielt auf Windows-, Linux- und ESXi-Umgebungen ab und verfügt über Selbstneustartfähigkeiten, Persistenz beim Starten und konfigurierbare Verschlüsselungsdrosselung. Die Verbreitung erfolgt über WMI, PowerShell-Remoting, SCHTASKS und andere integrierte Windows-Administrationstools. Die Betreiber bieten The Gentlemen als RaaS-Angebot an und stellen Partnern umfangreiche Anpassungs- und Optimierungsoptionen zur Verfügung.

Analyse des Angriffs durch die Gentlemen-Ransomware

Cybereasons Analyse eines 64-Bit Golang Windows Musters dokumentierte seine Kommandozeilenschalter, eingebetteten Lösegeldtext und eine breite Palette von Anti-Forensik PowerShell Routinen. Die Forscher identifizierten auch Registry-Lokationen für die Persistenz, eine Dienst-„Kill-Liste“ zum Deaktivieren kritischer Prozesse und die Nutzung nativer Windows-Binärdateien für die Privilegieneskalation und laterale Bewegungen. Die Verschlüsselungspipeline basiert auf XChaCha20 und Curve25519.

Abmilderung

Vorgeschlagene Abwehrmaßnahmen beinhalten die Durchsetzung von Multi-Faktor-Authentifizierung, regelmäßige Offline-Backups, sofortiges Anwenden von Sicherheitsupdates und das Verschärfen von PowerShell- und WMI-Ausführungskontrollen. Endpunktschutzstapel sollten Echtzeit-Anti-Malware- und Anti-Ransomware-Schutz sowie Schutz für VSS-Shadow-Kopien aktivieren. Sicherheitsteams sollten auch auf anomale Registry-Änderungen, neu erstellte geplante Aufgaben und charakteristische PowerShell-Befehlsmuster achten.

Reaktion

Wenn Aktivitäten der Gentlemen-Ransomware erkannt werden, sollten betroffene Systeme sofort isoliert, flüchtiger Speicher erfasst und wesentliche Artefakte wie Registry-Einträge, geplante Aufgaben und PowerShell-Ereignisprotokolle gesammelt werden. Führen Sie forensische Erfassungen von Lösegeldnoten und verschlüsselten Dateien durch und stellen Sie betroffene Systeme aus vertrauenswürdigen Backups wieder her, sobald die Entfernungsmaßnahmen überprüft sind. Beziehen Sie Incident-Response-Teams ein, um laterale Bewegungswege und Hinweise auf Datenexfiltration zu untersuchen.

Angriffsablauf

Simulation der Ausführung

Voraussetzung: Der Telemetrie- und Basisflight-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und der begleitende Text MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungsmethodik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    1. Ziel: Deaktivieren Sie den Echtzeitschutz von Windows Defender und fügen Sie einen Ausschlusspfad hinzu, um zu erlauben, dass die Ransomware-Nutzlast ungehindert verschlüsselte Dateien schreibt.
    2. Methode: Verwenden Sie ein PowerShell Invoke‑Command mit einem Inline-Skriptblock, der die beiden Defender-Präferenzbefehle ausführt. Dies spiegelt die genaue Syntax wider, die in den Proben der ‚The Gentlemen‘-Ransomware beobachtet wurde.
    3. Schritte:
      • Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.
      • Führen Sie den Invoke‑Command aus, der den bösartigen Skriptblock enthält.
      • Überprüfen Sie, ob die Echtzeitüberwachung von Defender deaktiviert ist und der Ausschluss für C: hinzugefügt wurde.
      • (Optional) Erstellen Sie eine Dummy-verschlüsselte Datei, um Ransomware-Aktivität zu simulieren.
  • Regressionstest-Skript: Das folgende eigenständige PowerShell-Skript reproduziert den Angriff genau so, wie es die Regel erwartet.

    # ------------------------------------------------------------------
    # Test script to trigger Sigma rule "Detect PowerShell Commands Used by
    # 'The Gentlemen' Ransomware"
    # ------------------------------------------------------------------
    # Ensure script runs as Administrator
    if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator))
    {
        Write-Error "Run this script with elevated (Administrator) privileges."
        exit 1
    }
    
    # 1️⃣ Disable real‑time monitoring
    Invoke-Command -ScriptBlock {
        Set-MpPreference -DisableRealtimeMonitoring $true
    }
    
    # 2️⃣ Add exclusion for the C: drive
    Invoke-Command -ScriptBlock {
        Add-MpPreference -ExclusionPath 'C:'
    }
    
    # 3️⃣ (Optional) Simulate ransomware file creation
    $dummyPath = "C:RansomTestencrypted.txt"
    New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null
    "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8
    
    Write-Host "Simulation completed. Defender should now be disabled and exclusion added."
  • Bereinigungsbefehle: Stellen Sie Defender in den Standardzustand zurück und entfernen Sie Testartefakte.

    # ------------------------------------------------------------------
    # Cleanup script – re‑enable Defender and delete test files
    # ------------------------------------------------------------------
    # Re‑enable real‑time monitoring
    Invoke-Command -ScriptBlock {
        Set-MpPreference -DisableRealtimeMonitoring $false
    }
    
    # Remove the C: exclusion
    Invoke-Command -ScriptBlock {
        Remove-MpPreference -ExclusionPath 'C:'
    }
    
    # Delete dummy encrypted file and folder
    $dummyPath = "C:RansomTestencrypted.txt"
    if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force }
    $folder = Split-Path $dummyPath
    if (Test-Path $folder) { Remove-Item $folder -Recurse -Force }
    
    Write-Host "Cleanup completed. Defender settings restored."