Folgen 
Zusammenfassung
Die Gentlemen-Ransomware-Gruppe ist seit Juli 2025 aktiv und folgt einem Doppel-Erpressungsmodell, das Dateiverschlüsselung mit Datendiebstahl und Erpressung durch Leak-Sites kombiniert. Die Malware ist in Go geschrieben, unterstützt Windows-, Linux- und ESXi-Umgebungen und verwendet ein fest codiertes Passwortargument während des Verschlüsselungsprozesses. Die Betreiber verlassen sich auch auf umfangreiche Aufklärung, missbrauchen Gruppenrichtlinienobjekte und verwenden legitime Werkzeuge wie WinSCP, um Daten in verschlüsselter Form zu bewegen und zu exfiltrieren.
Untersuchung
AttackIQ hat eine Emulation veröffentlicht, die das von mehreren Sicherheitsanbietern beschriebene Taktiken-, Techniken- und Verfahren-Schema nachbildet, das den anfänglichen Zugriff, die Persistenz, die Umgehung der Verteidigung, die Entdeckung, die seitliche Bewegung und den Einfluss umfasst. Die Emulation beinhaltet Verhaltensweisen wie die Erstellung geplanter Aufgaben, Registry-Run-Schlüssel, bösartige Dienste, Firewall-Regeländerungen und das Löschen von Volumenschattenkopien.
Minderung
Verteidiger sollten auf verdächtige PowerShell-Aktivitäten, unerwartete Erstellung geplanter Aufgaben, Registry-Änderungen im Zusammenhang mit Null-Sitzungen und Microsoft Defender-Ausschlüssen sowie Versuche zur Aktivierung von SMBv1 achten. Netzwerksegmentierung und Zugriffskontrollen mit minimalen Rechten können helfen, die Fähigkeit der Gruppe, sich durch gemeinsam genutzte Ressourcen seitlich zu bewegen, einzuschränken.
Reaktion
Wenn eine Aktivität im Zusammenhang mit Gentlemen erkannt wird, isolieren Sie sofort das betroffene System, sammeln Sie flüchtige Beweise, bewahren Sie das Ransomware-Beispiel und zugehörige Registry-Artefakte auf und beginnen Sie mit den Vorfallsreaktionsverfahren, um, sofern möglich, Schattenkopien und Ereignisprotokolle aus Backups wiederherzustellen. Eine vollständige forensische Untersuchung sollte ebenfalls durchgeführt werden, um den Anmeldeinformationsdiebstahl und mögliche laterale Bewegungen im gesamten Umfeld zu identifizieren.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef builtin fill:#dddddd %% Action nodes act_system_info[„<b>Aktion</b> – <b>T1082 Systeminformationen entdecken</b><br/>Betriebssystemversion, Hostname und weitere Systemdetails sammeln“] class act_system_info action act_persistence[„<b>Aktion</b> – Persistenz“] class act_persistence action act_scheduled_task[„<b>Aktion</b> – <b>T1053.005 Geplante Aufgabe</b><br/>Aufgabe erstellen, die beim Start ausgeführt wird“] class act_scheduled_task action act_registry_run[„<b>Aktion</b> – <b>T1547.001 Registry Run Keys / Autostart</b><br/>Run-Key unter HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run hinzufügen“] class act_registry_run action act_windows_service[„<b>Aktion</b> – <b>T1543.003 Windows-Dienst</b><br/>Neuen Dienst über sc.exe erstellen“] class act_windows_service action act_defense_evasion[„<b>Aktion</b> – Abwehrumgehung“] class act_defense_evasion action act_disable_defender[„<b>Aktion</b> – <b>T1562.001 Sicherheitswerkzeuge deaktivieren/ändern</b><br/>Windows Defender Echtzeitschutz deaktivieren“] class act_disable_defender action act_add_exclusions[„<b>Aktion</b> – <b>T1562.001 Sicherheitswerkzeuge deaktivieren/ändern</b><br/>Prozess- und Verzeichnisausnahmen via Set-MpPreference hinzufügen“] class act_add_exclusions action act_enable_firewall[„<b>Aktion</b> – Uneingeschränkte Netzwerkerkennung aktivieren“] class act_enable_firewall action act_discovery[„<b>Aktion</b> – Aufklärungsphase“] class act_discovery action act_ad_domain[„<b>Aktion</b> – <b>T1482 Domänenvertrauensentdeckung</b><br/>AD-Domäneninformationen mit Get-ADDomain abrufen“] class act_ad_domain action act_ad_computers[„<b>Aktion</b> – <b>T1018 Remote-Systementdeckung</b><br/>Domänencomputer mit Get-ADComputer auflisten“] class act_ad_computers action act_wmi_info[„<b>Aktion</b> – <b>T1082 Systeminformationen entdecken</b><br/>Systemdaten über WMI sammeln“] class act_wmi_info action act_file_enum[„<b>Aktion</b> – <b>T1083 Datei- und Verzeichnisentdeckung</b><br/>Dateien mit FindFirstFileW/FindNextFileW auflisten“] class act_file_enum action act_volume_disc[„<b>Aktion</b> – <b>T1680 Lokale Speicherentdeckung</b><br/>Volumes mit Win32_Volume und Get-PSDrive auflisten“] class act_volume_disc action act_network_share[„<b>Aktion</b> – <b>T1049 Netzfreigabenentdeckung</b><br/>Freigaben mit WNetOpenEnum/WNetEnumResource entdecken“] class act_network_share action act_lateral_movement[„<b>Aktion</b> – Laterale Bewegung“] class act_lateral_movement action act_create_share[„<b>Aktion</b> – <b>T1021 Remote-Dienste</b><br/>Versteckte SMB-Freigabe mit net share erstellen“] class act_create_share action act_modify_acls[„<b>Aktion</b> – <b>T1222.001 Berechtigungsgruppenentdeckung</b><br/>Anonyme Vollrechte mit icacls setzen“] class act_modify_acls action act_null_session[„<b>Aktion</b> – <b>T1556.009 Zugriffstoken-Manipulation</b><br/>Registry-Werte für NullSessionShares und Anonymzugriff ändern“] class act_null_session action act_copy_payload[„<b>Aktion</b> – Ransomware-Payload auf entfernten Host kopieren“] class act_copy_payload action act_execute_wmi[„<b>Aktion</b> – <b>T1047 Windows Management Instrumentation</b><br/>Remote-Ausführung über WMI/WMIC“] class act_execute_wmi action act_impact[„<b>Aktion</b> – Impact-Phase“] class act_impact action act_delete_shadow[„<b>Aktion</b> – <b>T1490 Systemwiederherstellung verhindern</b><br/>Shadow Copies mit vssadmin und wmic löschen“] class act_delete_shadow action act_clear_logs[„<b>Aktion</b> – <b>T1070.001 Windows-Ereignisprotokolle löschen</b><br/>Logs mit wevtutil.exe löschen“] class act_clear_logs action act_encrypt_files[„<b>Aktion</b> – <b>T1486 Datenverschlüsselung für Impact</b><br/>Dateien mit XChaCha20 verschlüsseln und Schlüssel mit Curve25519 schützen“] class act_encrypt_files action %% Connections act_system_info –>|führt zu| act_persistence act_persistence –>|erstellt| act_scheduled_task act_persistence –>|erstellt| act_registry_run act_persistence –>|erstellt| act_windows_service act_persistence –>|führt zu| act_defense_evasion act_defense_evasion –>|nutzt| act_disable_defender act_defense_evasion –>|nutzt| act_add_exclusions act_defense_evasion –>|nutzt| act_enable_firewall act_defense_evasion –>|führt zu| act_discovery act_discovery –>|enthält| act_ad_domain act_discovery –>|enthält| act_ad_computers act_discovery –>|enthält| act_wmi_info act_discovery –>|enthält| act_file_enum act_discovery –>|enthält| act_volume_disc act_discovery –>|enthält| act_network_share act_discovery –>|führt zu| act_lateral_movement act_lateral_movement –>|erstellt| act_create_share act_lateral_movement –>|ändert| act_modify_acls act_lateral_movement –>|ändert| act_null_session act_lateral_movement –>|kopiert| act_copy_payload act_lateral_movement –>|führt aus| act_execute_wmi act_execute_wmi –>|führt zu| act_impact act_impact –>|enthält| act_delete_shadow act_impact –>|enthält| act_clear_logs act_impact –>|enthält| act_encrypt_files
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Anzeigen
Mögliches Remote-Desktop-Dienste-Shadowing (via registry_event)
Anzeigen
Mögliche Systemaufzählung (via cmdline)
Anzeigen
Mögliche Netzwerkfreigabenerkennung (via cmdline)
Anzeigen
Mögliche Admin-Konto- oder Gruppenerkennung (via cmdline)
Anzeigen
Verdächtige VSSADMIN-Aktivität (via cmdline)
Anzeigen
Erstellen oder Löschen von Schattenkopien über Powershell, CMD oder WMI (via cmdline)
Anzeigen
Verdächtige Änderungen der Windows Defender-Präferenzen (via powershell)
Anzeigen
Mögliche Umgehungsprüfungen (via powershell)
Anzeigen
Indikatoren (HashSha256) zum Erkennen: Emulation der Gentlemen-Ransomware
Anzeigen
Erkennung der Gentlemen-Ransomware-Aktivitäten [Windows Powershell]
Anzeigen
Ausführung der Simulation
Voraussetzung: Der Telemetrie- & Basislinienvorprüflichtcheck muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel ausgeführt wird. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
Angriffserzählung und Befehle
Ein Angreifer, der niedrig privilegierte Ausführungen auf einem domänenverknüpften Windows-Server erlangt hat, möchte die Umgebung für den Ransomware-Einsatz vorbereiten. Sie verwenden native PowerShell-Cmdlets, um:
- Echtzeitschutz deaktivieren (
Set-MpPreference). - Firewall-Ports öffnen (
Enable-NetFirewallRule). - Zusätzliche Windows-Funktionen aktivieren (
Import-Modul-Servermanager+Enable-WindowsOptionalFeature). - Domäneninformationen ernten (
Get-ADDomain,Get-ADComputer). - Systemdetails auflisten (
Get-WmiObject Win32_ComputerSystem,Get-PSDrive). - Bösartige Payloads auf einen Remote-Share kopieren (
Copy-Item).
Jeder Schritt wird in einem separaten PowerShell-Prozess ausgeführt, um sicherzustellen, dass die Befehlszeile von jedem Prozess einen der Strings enthält, die die Sigma-Regel überwacht, um so die erforderliche Telemetrie zu erzeugen.
Regressionstestskript
# -------------------------------------------------
# Simulationsskript – löst die Erkennungsregel der Gentlemen-Ransomware aus
# -------------------------------------------------
# HINWEIS: Führen Sie dies auf einem isolierten Windows-Host außerhalb der Produktion aus.
# 1. Deaktivieren der Echtzeitüberwachung von Windows Defender
powershell.exe -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
# 2. Eine Firewallregel aktivieren (z. B. eingehendes SMB zulassen)
powershell.exe -Command "Enable-NetFirewallRule -DisplayGroup 'Datei- und Druckerfreigabe'"
# 3. Server Manager-Modul installieren und ein Windows-Feature aktivieren
powershell.exe -Command "Import-Module ServerManager; Enable-WindowsOptionalFeature -Online -FeatureName TelnetClient -NoRestart"
# 4. AD-Domäneninformationen auflisten
powershell.exe -Command "Get-ADDomain | Out-Null"
# 5. AD-Computer auflisten (Erkennung)
powershell.exe -Command "Get-ADComputer -Filter * | Select-Object Name | Out-Null"
# 6. WMI für Systemdetails abfragen
powershell.exe -Command "Get-WmiObject Win32_ComputerSystem | Out-Null"
# 7. Aktuelle PS-Laufwerke anzeigen
powershell.exe -Command "Get-PSDrive | Out-Null"
# 8. Eine Dummy-Datei zu einem Remote-Share kopieren, um die seitliche Bewegung zu simulieren
# (Ersetzen Sie \REMOTE-SERVERShare durch ein erreichbares SMB-Share in Ihrem Labor)
$dummy = "$env:TEMPdummy.txt"
"test" | Out-File -FilePath $dummy -Encoding ASCII
powershell.exe -Command "Copy-Item -Path '$dummy' -Destination '\REMOTE-SERVERSharedummy.txt'"
# Dummy-Datei lokal bereinigen
Remove-Item $dummy -ForceBereinigungskommandos
# -------------------------------------------------
# Bereinigungsskript – stellt den Host in den Zustand vor dem Test wieder her
# -------------------------------------------------
# Echtzeitschutz von Windows Defender wieder aktivieren
Set-MpPreference -DisableRealtimeMonitoring $false
# Die oben hinzugefügte Firewallregel deaktivieren (sofern noch vorhanden)
Disable-NetFirewallRule -DisplayGroup 'Datei- und Druckerfreigabe'
# Die Dummy-Datei vom Remote-Share entfernen (erfordert Schreibberechtigungen)
Remove-Item -Path 'REMOTE-SERVERSharedummy.txt' -Force -ErrorAction SilentlyContinue