Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El grupo de ransomware Gentlemen ha estado activo desde julio de 2025 y sigue un modelo de doble extorsión, combinando el cifrado de archivos con el robo de datos y la extorsión a través de sitios de filtraciones. El malware está escrito en Go, es compatible con entornos Windows, Linux y ESXi, y utiliza un argumento de contraseña codificado durante el proceso de cifrado. Los operadores también dependen de un amplio reconocimiento, abuso de Objetos de Políticas de Grupo y herramientas legítimas como WinSCP para mover y exfiltrar datos de forma cifrada.
Investigación
AttackIQ publicó una emulación que recrea las tácticas, técnicas y procedimientos descritos por múltiples proveedores de seguridad, abarcando el acceso inicial, persistencia, evasión de defensa, descubrimiento, movimiento lateral e impacto. La emulación incluye comportamientos tales como la creación de tareas programadas, claves de ejecución en el registro, servicios maliciosos, cambios en las reglas de firewall y la eliminación de copias sombra de volumen.
Mitigación
Los defensores deben vigilar la actividad sospechosa de PowerShell, la creación inesperada de tareas programadas, cambios en el registro relacionados con sesiones nulas y exclusiones de Microsoft Defender, e intentos de habilitar SMBv1. La segmentación de la red y los controles de acceso de mínimo privilegio pueden ayudar a limitar la capacidad del grupo para moverse lateralmente a través de recursos compartidos.
Respuesta
Si se detecta actividad relacionada con Gentlemen, aísle el sistema afectado de inmediato, recopile evidencia volátil, preserve la muestra del ransomware y los artefactos de registro asociados, y comience los procedimientos de respuesta a incidentes para recuperar copias sombra y registros de eventos de las copias de seguridad cuando sea posible. También debe realizarse una investigación forense completa para identificar el robo de credenciales y cualquier movimiento lateral en el entorno.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef builtin fill:#dddddd %% Action nodes act_system_info[«<b>Acción</b> – <b>T1082 Descubrimiento de información del sistema</b><br/>Recopilar versión del sistema operativo, nombre del host y otros detalles del equipo»] class act_system_info action act_persistence[«<b>Acción</b> – Persistencia»] class act_persistence action act_scheduled_task[«<b>Acción</b> – <b>T1053.005 Tarea programada</b><br/>Crear una tarea que se ejecuta al inicio»] class act_scheduled_task action act_registry_run[«<b>Acción</b> – <b>T1547.001 Claves Run del registro / carpeta de inicio</b><br/>Añadir clave Run en HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run»] class act_registry_run action act_windows_service[«<b>Acción</b> – <b>T1543.003 Servicio de Windows</b><br/>Crear un nuevo servicio mediante sc.exe»] class act_windows_service action act_defense_evasion[«<b>Acción</b> – Evasión de defensa»] class act_defense_evasion action act_disable_defender[«<b>Acción</b> – <b>T1562.001 Deshabilitar o modificar herramientas</b><br/>Desactivar la protección en tiempo real de Windows Defender»] class act_disable_defender action act_add_exclusions[«<b>Acción</b> – <b>T1562.001 Deshabilitar o modificar herramientas</b><br/>Agregar exclusiones de procesos y directorios con Set-MpPreference»] class act_add_exclusions action act_enable_firewall[«<b>Acción</b> – Habilitar descubrimiento de red sin restricciones»] class act_enable_firewall action act_discovery[«<b>Acción</b> – Fase de descubrimiento»] class act_discovery action act_ad_domain[«<b>Acción</b> – <b>T1482 Descubrimiento de confianza de dominio</b><br/>Consultar información del dominio AD con Get-ADDomain»] class act_ad_domain action act_ad_computers[«<b>Acción</b> – <b>T1018 Descubrimiento de sistemas remotos</b><br/>Enumerar equipos unidos al dominio con Get-ADComputer»] class act_ad_computers action act_wmi_info[«<b>Acción</b> – <b>T1082 Descubrimiento de información del sistema</b><br/>Recopilar datos del sistema vía WMI»] class act_wmi_info action act_file_enum[«<b>Acción</b> – <b>T1083 Descubrimiento de archivos y directorios</b><br/>Enumerar archivos y directorios con FindFirstFileW/FindNextFileW»] class act_file_enum action act_volume_disc[«<b>Acción</b> – <b>T1680 Descubrimiento de almacenamiento local</b><br/>Enumerar volúmenes con Win32_Volume y Get-PSDrive»] class act_volume_disc action act_network_share[«<b>Acción</b> – <b>T1049 Descubrimiento de recursos compartidos de red</b><br/>Descubrir shares con WNetOpenEnum/WNetEnumResource»] class act_network_share action act_lateral_movement[«<b>Acción</b> – Movimiento lateral»] class act_lateral_movement action act_create_share[«<b>Acción</b> – <b>T1021 Servicios remotos</b><br/>Crear un recurso SMB oculto con acceso completo usando net share»] class act_create_share action act_modify_acls[«<b>Acción</b> – <b>T1222.001 Descubrimiento de grupos de permisos</b><br/>Conceder permisos completos anónimos con icacls»] class act_modify_acls action act_null_session[«<b>Acción</b> – <b>T1556.009 Manipulación de tokens de acceso</b><br/>Modificar claves de registro NullSessionShares y configuraciones anónimas»] class act_null_session action act_copy_payload[«<b>Acción</b> – Copiar payload de ransomware al host remoto»] class act_copy_payload action act_execute_wmi[«<b>Acción</b> – <b>T1047 Instrumental de administración de Windows (WMI)</b><br/>Ejecutar payload remotamente mediante WMI/WMIC»] class act_execute_wmi action act_impact[«<b>Acción</b> – Fase de impacto»] class act_impact action act_delete_shadow[«<b>Acción</b> – <b>T1490 Inhibir recuperación del sistema</b><br/>Eliminar copias sombra con wmic y vssadmin»] class act_delete_shadow action act_clear_logs[«<b>Acción</b> – <b>T1070.001 Borrar registros de eventos de Windows</b><br/>Borrar logs con wevtutil.exe»] class act_clear_logs action act_encrypt_files[«<b>Acción</b> – <b>T1486 Cifrado de datos para impacto</b><br/>Cifrar archivos con XChaCha20 y proteger claves con Curve25519»] class act_encrypt_files action %% Connections act_system_info –>|conduce a| act_persistence act_persistence –>|crea| act_scheduled_task act_persistence –>|crea| act_registry_run act_persistence –>|crea| act_windows_service act_persistence –>|conduce a| act_defense_evasion act_defense_evasion –>|usa| act_disable_defender act_defense_evasion –>|usa| act_add_exclusions act_defense_evasion –>|usa| act_enable_firewall act_defense_evasion –>|conduce a| act_discovery act_discovery –>|incluye| act_ad_domain act_discovery –>|incluye| act_ad_computers act_discovery –>|incluye| act_wmi_info act_discovery –>|incluye| act_file_enum act_discovery –>|incluye| act_volume_disc act_discovery –>|incluye| act_network_share act_discovery –>|conduce a| act_lateral_movement act_lateral_movement –>|crea| act_create_share act_lateral_movement –>|modifica| act_modify_acls act_lateral_movement –>|modifica| act_null_session act_lateral_movement –>|copia| act_copy_payload act_lateral_movement –>|ejecuta| act_execute_wmi act_execute_wmi –>|conduce a| act_impact act_impact –>|incluye| act_delete_shadow act_impact –>|incluye| act_clear_logs act_impact –>|incluye| act_encrypt_files
Flujo de Ataque
Detecciones
Posibles Puntos de Persistencia [ASEPs – Colmena Software/NTUSER] (via evento_registro)
Ver
Posible Redireccionamiento de Servidores de Escritorio Remoto (via evento_registro)
Ver
Posible Enumeración de Sistema (via cmdline)
Ver
Posible Descubrimiento de Recursos Compartidos de Red (via cmdline)
Ver
Posible Enumeración de Cuentas de Administrador o Grupos (via cmdline)
Ver
Actividad Sospechosa de VSSADMIN (via cmdline)
Ver
Crear o Eliminar Copia Sombra vía Powershell, CMD o WMI (via cmdline)
Ver
Cambios Sospechosos en Preferencias de Windows Defender (via powershell)
Ver
Posibles Comprobaciones de Evasión (via powershell)
Ver
IOCs (HashSha256) para detectar: Emulando el Ransomware Gentlemen
Ver
Detección de Actividades de Ransomware Gentlemen [Windows Powershell]
Ver
Ejecución de la Simulación
Pre-requisito: La Verificación Pre-vuelo de Telemetría y Referencia debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
Narrativa y Comandos de Ataque
Un adversario que ha obtenido ejecución de bajo privilegio en un servidor Windows unido a un dominio desea preparar el entorno para el despliegue de ransomware. Utilizan cmdlets nativos de PowerShell para:
- Deshabilitar la protección en tiempo real (
Set-MpPreference). - Abrir puertos de firewall (
Enable-NetFirewallRule). - Habilitar características adicionales de Windows (
Import-Module ServerManager+Enable-WindowsOptionalFeature). - Recolectar información de dominio (
Get-ADDomain,Get-ADComputer). - Enumerar detalles del sistema (
Get-WmiObject Win32_ComputerSystem,Get-PSDrive). - Copiar cargas útiles maliciosas a un recurso compartido remoto (
Copy-Item).
Cada paso se ejecuta en un proceso separado de PowerShell para asegurar que la línea de comando de cada proceso contenga uno de los cadenas que la regla Sigma espera, de este modo generando la telemetría requerida. prueba de regresión
guion de prueba de regresión
# -------------------------------------------------
# Script de simulación – activa la regla de detección del ransomware Gentlemen
# -------------------------------------------------
# NOTA: Ejecute esto en un host Windows aislado y que no sea de producción.
# 1. Deshabilitar la Monitorización en Tiempo Real de Windows Defender
powershell.exe -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
# 2. Habilitar una regla de firewall (por ejemplo, permitir SMB entrante)
powershell.exe -Command "Enable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'"
# 3. Instalar el módulo Server Manager y habilitar una característica de Windows
powershell.exe -Command "Import-Module ServerManager; Enable-WindowsOptionalFeature -Online -FeatureName TelnetClient -NoRestart"
# 4. Enumerar información de dominio AD
powershell.exe -Command "Get-ADDomain | Out-Null"
# 5. Listar computadoras de AD (descubrimiento)
powershell.exe -Command "Get-ADComputer -Filter * | Select-Object Name | Out-Null"
# 6. Consultar WMI para detalles del sistema
powershell.exe -Command "Get-WmiObject Win32_ComputerSystem | Out-Null"
# 7. Mostrar las unidades PS actuales
powershell.exe -Command "Get-PSDrive | Out-Null"
# 8. Copiar un archivo ficticio a un recurso compartido remoto para simular movimiento lateral
# (Reemplace \REMOTE-SERVERShare con un recurso compartido SMB alcanzable en su laboratorio)
$dummy = "$env:TEMPdummy.txt"
"test" | Out-File -FilePath $dummy -Encoding ASCII
powershell.exe -Command "Copy-Item -Path '$dummy' -Destination '\REMOTE-SERVERSharedummy.txt'"
# Limpiar archivo ficticio localmente
Remove-Item $dummy -ForceComandos de Limpieza
# -------------------------------------------------
# Script de limpieza: restaura el host a su estado anterior a la prueba
# -------------------------------------------------
# Activar nuevamente la protección en tiempo real de Windows Defender
Set-MpPreference -DisableRealtimeMonitoring $false
# Deshabilitar la regla de firewall añadida anteriormente (si aún está presente)
Disable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'
# Eliminar el archivo ficticio del recurso compartido remoto (requiere permiso de escritura)
Remove-Item -Path 'REMOTE-SERVERSharedummy.txt' -Force -ErrorAction SilentlyContinue