Licence pour Chiffrer : Quand « Les Gentlemen » Passent à l’Offensive
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le collectif de ransomware The Gentlemen est apparu en juillet 2025, menant une opération de double extorsion qui chiffrait les données des victimes et siphonnait des informations sensibles. Le malware est multiplateforme, ciblant les environnements Windows, Linux et ESXi, et inclut des capacités de redémarrage automatique, de persistance au démarrage, et un réglage configurable du chiffrement. La propagation s’appuie sur WMI, PowerShell remoting, SCHTASKS et d’autres outils d’administration Windows intégrés. Les opérateurs gèrent The Gentlemen comme une offre RaaS, fournissant aux affiliés de nombreuses options de réglage et de personnalisation.
Analyse de l’attaque du ransomware The Gentlemen
L’analyse de Cybereason d’un échantillon Windows 64 bits en Golang a documenté ses commutateurs de ligne de commande, le texte de la note de rançon intégrée, et un ensemble large de routines PowerShell anti-forensiques. Les chercheurs ont également identifié des emplacements de registre utilisés pour la persistance, une « kill list » de services visant à désactiver des processus critiques, et la dépendance aux binaires natifs de Windows pour l’élévation des privilèges et le déplacement latéral. Le pipeline de chiffrement repose sur XChaCha20 et Curve25519.
Atténuation
Les mesures de défense suggérées incluent l’application de l’authentification multi-facteurs, le maintien de sauvegardes fréquentes hors ligne, l’application rapide des correctifs de sécurité et le renforcement des contrôles d’exécution PowerShell et WMI. Les piles de protection des points de terminaison devraient activer des protections anti-malware et anti-ransomware en temps réel, ainsi qu’une protection pour les copies de l’ombre VSS. Les équipes de sécurité devraient également surveiller les modifications anormales du registre, les tâches planifiées nouvellement créées et les schémas caractéristiques de commandes PowerShell.
Réponse
Lorsqu’une activité du ransomware The Gentlemen est identifiée, isolez immédiatement le système impacté, capturez la mémoire volatile, et collectez les artefacts clés, comme les entrées de registre, les tâches planifiées, et les journaux d’événements PowerShell. Effectuez l’acquisition forensic de notes de rançon et de fichiers chiffrés, puis restaurez les systèmes affectés à partir de sauvegardes de confiance une fois l’éradication vérifiée. Faites appel aux équipes d’intervention en cas d’incident pour enquêter sur les chemins de déplacement latéraux et les preuves d’exfiltration de données.
Flux d’attaque
Détections
Détection de la persistance et de la propagation du ransomware The Gentlemen [Création de processus Windows]
Voir
Détecter les commandes PowerShell utilisées par le ransomware « The Gentlemen » [Powershell Windows]
Voir
Changements suspects des préférences de Windows Defender (via powershell)
Voir
Utilisation possible de PING pour l’exécution différée (via la ligne de commande)
Voir
Points de persistance possibles [ASEPs – Hive Software/NTUSER] (via registry_event)
Voir
Exécution de Simulation
Prérequis : Le contrôle préalable de télémétrie et de base doit être réussi.
Rationale : Cette section décrit l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Récit de l’attaque et commandes :
- Objectif :Désactiver la protection en temps réel de Windows Defender et ajouter un chemin d’exclusion pour permettre à la charge utile du ransomware d’écrire des fichiers chiffrés sans entrave.
-
Méthode :Utiliser un PowerShell
Invoke‑Commandavec un bloc de script inline qui exécute les deux commandes de préférence de Defender. Cela reflète la syntaxe exacte observée dans les échantillons de ransomware « The Gentlemen ». -
Étapes :
- Ouvrez une session PowerShell avec des privilèges élevés.
- Exécutez le
Invoke‑Commandqui contient le bloc de script malveillant. - Vérifiez que la surveillance en temps réel de Defender est désactivée et que l’exclusion pour
C:est ajoutée. - (Facultatif) Créez un fichier chiffré factice pour émuler l’activité du ransomware.
-
Script de Test de Régression :Le script PowerShell autonome suivant reproduit l’attaque exactement comme la règle s’y attend.
# ------------------------------------------------------------------ # Script de test pour déclencher la règle Sigma « Détecter les commandes PowerShell Utilisées par # 'The Gentlemen' Ransomware » # ------------------------------------------------------------------ # Assurez-vous que le script s'exécute en tant qu'administrateur if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Exécutez ce script avec des privilèges élevés (Administrateur)." exit 1 } # 1️⃣ Désactivez la surveillance en temps réel Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Ajoutez une exclusion pour le lecteur C: Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Facultatif) Simulez la création de fichier ransomware $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulation terminée. Defender devrait maintenant être désactivé et l'exclusion ajoutée." -
Commandes de nettoyage :Restaurez Defender à son état par défaut et supprimez les artefacts de test.
# ------------------------------------------------------------------ # Script de nettoyage – réactivez Defender et supprimez les fichiers de test # ------------------------------------------------------------------ # Réactivation de la surveillance en temps réel Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Supprimez l'exclusion C: Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Supprimez le fichier chiffré fictif et le dossier $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Nettoyage terminé. Paramètres de Defender restaurés."