Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El colectivo de ransomware The Gentlemen apareció en julio de 2025, ejecutando una operación de doble extorsión que tanto cifraba los datos de la víctima como sustraía información sensible. El malware es multiplataforma, apuntando a entornos Windows, Linux y ESXi, e incluye capacidades de autoreinicio, persistencia de ejecución al inicio y estrangulamiento de cifrado configurable. La propagación se basa en WMI, PowerShell remoting, SCHTASKS y otras herramientas de administración integradas en Windows. Los operadores operan The Gentlemen como una oferta de RaaS, proporcionando a los afiliados amplias opciones de ajuste y personalización.
Análisis del Ataque del Ransomware The Gentlemen
El análisis de Cybereason de una muestra de Windows de 64 bits en Golang documentó sus opciones de línea de comandos, el texto de la nota de rescate incrustada y un amplio conjunto de rutinas anti-forenses en PowerShell. Los investigadores también identificaron ubicaciones de registro utilizadas para la persistencia, una «lista de eliminación» de servicios destinada a deshabilitar procesos críticos y la dependencia de binarios nativos de Windows para la escalada de privilegios y el movimiento lateral. La canalización de cifrado está construida sobre XChaCha20 y Curve25519.
Mitigación
Las medidas defensivas sugeridas incluyen aplicar la autenticación multifactor, mantener copias de seguridad fuera de línea con frecuencia, aplicar rápidamente parches de seguridad y reforzar los controles de ejecución de PowerShell y WMI. Las pilas de protección de endpoints deben habilitar salvaguardas de anti-malware en tiempo real, anti-ransomware y protección para las copias sombra de VSS. Los equipos de seguridad también deben monitorear modificaciones de registro anormales, tareas programadas recién creadas y patrones característicos de comandos PowerShell.
Respuesta
Cuando se identifica actividad del ransomware The Gentlemen, inmediatamente cuarentena el sistema afectado, captura la memoria volátil y reúne artefactos clave, como entradas de registro, tareas programadas y registros de eventos de PowerShell. Realiza la adquisición forense de las notas de rescate y los archivos cifrados, luego restaura los sistemas afectados desde copias de seguridad confiables una vez que se verifica la erradicación. Involucra a los equipos de respuesta a incidentes para investigar las rutas de movimiento lateral y la evidencia de exfiltración de datos.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes – Actions / Techniques initial_access[«<b>Acción</b> – Acceso inicial mediante un punto de apoyo existente»] class initial_access action dll_sideload[«<b>Técnica</b> – <b>T1574.001 Secuestro del Flujo de Ejecución: DLL</b><br/>OneDrive.exe carga la DLL maliciosa SSPICLI.dll mediante sideloading de DLL»] class dll_sideload technique powershell[«<b>Técnica</b> – <b>T1059.001 Intérprete de Comandos y Scripting: PowerShell</b><br/>Comandos de PowerShell codificados en Base64 ejecutados para comprobaciones de red y copia de archivos»] class powershell technique office_macro[«<b>Técnica</b> – <b>T1137.001 Inicio de Aplicaciones de Office: Macros de Plantillas de Office</b><br/>Macro VBA colocada en %APPDATA%\\Microsoft\\Outlook\\VbaProject.OTM»] class office_macro technique vba_stomping[«<b>Técnica</b> – <b>T1564.007 Ocultar Artefactos: VBA Stomping</b><br/>La macro monitoriza el correo entrante (Application_NewMailEx) para disparadores de C2 y exfiltra datos»] class vba_stomping technique vb_interpreter[«<b>Técnica</b> – <b>T1059.005 Intérprete de Comandos y Scripting: Visual Basic</b><br/>El código VBA ejecuta comandos y se comunica a través de Outlook»] class vb_interpreter technique %% Nodes – Files / Objects file_oneDrive[«<b>Archivo</b> – OneDrive.exe»] class file_oneDrive file file_sspicli[«<b>Archivo</b> – SSPICLI.dll»] class file_sspicli file file_vba[«<b>Archivo</b> – VbaProject.OTM»] class file_vba file email_monitor[«<b>Objeto</b> – Aplicación Outlook<br/>Monitoriza el correo entrante (Application_NewMailEx)»] class email_monitor action outlook_comm[«<b>Objeto</b> – Outlook<br/>Comunica con C2 y exfiltra datos»] class outlook_comm action %% Connections – Flow of the attack initial_access u002du002d>|conduce_a| dll_sideload dll_sideload u002du002d>|usa| file_oneDrive dll_sideload u002du002d>|carga| file_sspicli dll_sideload u002du002d>|dispara| powershell powershell u002du002d>|conduce_a| office_macro office_macro u002du002d>|coloca| file_vba office_macro u002du002d>|habilita| vba_stomping office_macro u002du002d>|habilita| vb_interpreter vba_stomping u002du002d>|monitoriza| email_monitor vb_interpreter u002du002d>|se_comunica_vía| outlook_comm
Flujo de Ataque
Detecciones
Detección de Persistencia y Propagación del Ransomware The Gentlemen [Creación de Procesos de Windows]
Ver
Detectar Comandos PowerShell Utilizados por el Ransomware «The Gentlemen» [PowerShell de Windows]
Ver
Cambios Sospechosos en las Preferencias de Windows Defender (vía powershell)
Ver
Posible Uso de PING para Ejecución Retardada (vía línea de comandos)
Ver
Puntos de Persistencia Posibles [ASEPs – Hive de Software/NTUSER] (vía evento de registro)
Ver
Ejecución de Simulación
Prerrequisito: El Chequeo Previo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa y Comandos del Ataque:
- Objetivo:Deshabilitar la protección en tiempo real de Windows Defender y agregar una ruta de exclusión para permitir que la carga del ransomware escriba archivos cifrados sin obstáculos.
- Método:Usar un PowerShell
Invoke-Commandcon un bloque de script en línea que ejecuta los dos comandos de preferencia de Defender. Esto refleja la sintaxis exacta observada en las muestras de ransomware “The Gentlemen”. - Pasos:
- Abrir una sesión de PowerShell con privilegios elevados.
- Ejecutar el
Invoke-Commandque contiene el bloque de script malicioso. - Verificar que el monitoreo en tiempo real de Defender esté deshabilitado y que se haya añadido la exclusión para
C:. - (Opcional) Crear un archivo cifrado de prueba para emular la actividad del ransomware.
-
Script de Prueba de Regresión:El siguiente script de PowerShell autocompleto reproduce el ataque exactamente como la regla lo espera.
# ------------------------------------------------------------------ # Script de prueba para activar la regla Sigma "Detectar Comandos PowerShell # Utilizados por el Ransomware 'The Gentlemen'" # ------------------------------------------------------------------ # Asegúrese de que el script se ejecute como Administrador if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Ejecuta este script con privilegios elevados (Administrador)." exit 1 } # 1️⃣ Deshabilitar el monitoreo en tiempo real Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Añadir exclusión para la unidad C: Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Opcional) Simular la creación de un archivo de ransomware $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "Este es un payload cifrado de prueba." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulación completada. Defender ahora debería estar deshabilitado y la exclusión añadida." -
Comandos de Limpieza:Restaura Defender a su estado predeterminado y elimina los artefactos de prueba.
# ------------------------------------------------------------------ # Script de limpieza – volver a habilitar Defender y eliminar archivos de prueba # ------------------------------------------------------------------ # Volver a habilitar el monitoreo en tiempo real Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Eliminar la exclusión de C: Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Eliminar el archivo y la carpeta cifrada de prueba $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Limpieza completada. Configuración de Defender restaurada."