SOC Prime Bias: Élevé

21 Nov 2025 16:30 UTC

Licence pour Chiffrer : Quand « Les Gentlemen » Passent à l’Offensive

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Licence pour Chiffrer : Quand « Les Gentlemen » Passent à l’Offensive
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le collectif de ransomware The Gentlemen est apparu en juillet 2025, menant une opération de double extorsion qui chiffrait les données des victimes et siphonnait des informations sensibles. Le malware est multiplateforme, ciblant les environnements Windows, Linux et ESXi, et inclut des capacités de redémarrage automatique, de persistance au démarrage, et un réglage configurable du chiffrement. La propagation s’appuie sur WMI, PowerShell remoting, SCHTASKS et d’autres outils d’administration Windows intégrés. Les opérateurs gèrent The Gentlemen comme une offre RaaS, fournissant aux affiliés de nombreuses options de réglage et de personnalisation.

Analyse de l’attaque du ransomware The Gentlemen

L’analyse de Cybereason d’un échantillon Windows 64 bits en Golang a documenté ses commutateurs de ligne de commande, le texte de la note de rançon intégrée, et un ensemble large de routines PowerShell anti-forensiques. Les chercheurs ont également identifié des emplacements de registre utilisés pour la persistance, une « kill list » de services visant à désactiver des processus critiques, et la dépendance aux binaires natifs de Windows pour l’élévation des privilèges et le déplacement latéral. Le pipeline de chiffrement repose sur XChaCha20 et Curve25519.

Atténuation

Les mesures de défense suggérées incluent l’application de l’authentification multi-facteurs, le maintien de sauvegardes fréquentes hors ligne, l’application rapide des correctifs de sécurité et le renforcement des contrôles d’exécution PowerShell et WMI. Les piles de protection des points de terminaison devraient activer des protections anti-malware et anti-ransomware en temps réel, ainsi qu’une protection pour les copies de l’ombre VSS. Les équipes de sécurité devraient également surveiller les modifications anormales du registre, les tâches planifiées nouvellement créées et les schémas caractéristiques de commandes PowerShell.

Réponse

Lorsqu’une activité du ransomware The Gentlemen est identifiée, isolez immédiatement le système impacté, capturez la mémoire volatile, et collectez les artefacts clés, comme les entrées de registre, les tâches planifiées, et les journaux d’événements PowerShell. Effectuez l’acquisition forensic de notes de rançon et de fichiers chiffrés, puis restaurez les systèmes affectés à partir de sauvegardes de confiance une fois l’éradication vérifiée. Faites appel aux équipes d’intervention en cas d’incident pour enquêter sur les chemins de déplacement latéraux et les preuves d’exfiltration de données.

Flux d’attaque

Exécution de Simulation

Prérequis : Le contrôle préalable de télémétrie et de base doit être réussi.

Rationale : Cette section décrit l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Récit de l’attaque et commandes :

    1. Objectif :Désactiver la protection en temps réel de Windows Defender et ajouter un chemin d’exclusion pour permettre à la charge utile du ransomware d’écrire des fichiers chiffrés sans entrave.
    2. Méthode :Utiliser un PowerShellInvoke‑Commandavec un bloc de script inline qui exécute les deux commandes de préférence de Defender. Cela reflète la syntaxe exacte observée dans les échantillons de ransomware « The Gentlemen ».
    3. Étapes :
      • Ouvrez une session PowerShell avec des privilèges élevés.
      • Exécutez le Invoke‑Commandqui contient le bloc de script malveillant.
      • Vérifiez que la surveillance en temps réel de Defender est désactivée et que l’exclusion pourC:est ajoutée.
      • (Facultatif) Créez un fichier chiffré factice pour émuler l’activité du ransomware.
  • Script de Test de Régression :Le script PowerShell autonome suivant reproduit l’attaque exactement comme la règle s’y attend.

    # ------------------------------------------------------------------
    # Script de test pour déclencher la règle Sigma « Détecter les commandes PowerShell Utilisées par
    # 'The Gentlemen' Ransomware »
    # ------------------------------------------------------------------
    # Assurez-vous que le script s'exécute en tant qu'administrateur
    if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator))
    {
        Write-Error "Exécutez ce script avec des privilèges élevés (Administrateur)."
        exit 1
    }
    
    # 1️⃣ Désactivez la surveillance en temps réel
    Invoke-Command -ScriptBlock {
        Set-MpPreference -DisableRealtimeMonitoring $true
    }
    
    # 2️⃣ Ajoutez une exclusion pour le lecteur C:
    Invoke-Command -ScriptBlock {
        Add-MpPreference -ExclusionPath 'C:'
    }
    
    # 3️⃣ (Facultatif) Simulez la création de fichier ransomware
    $dummyPath = "C:RansomTestencrypted.txt"
    New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null
    "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8
    
    Write-Host "Simulation terminée. Defender devrait maintenant être désactivé et l'exclusion ajoutée."
  • Commandes de nettoyage :Restaurez Defender à son état par défaut et supprimez les artefacts de test.

    # ------------------------------------------------------------------
    # Script de nettoyage – réactivez Defender et supprimez les fichiers de test
    # ------------------------------------------------------------------
    # Réactivation de la surveillance en temps réel
    Invoke-Command -ScriptBlock {
        Set-MpPreference -DisableRealtimeMonitoring $false
    }
    
    # Supprimez l'exclusion C:
    Invoke-Command -ScriptBlock {
        Remove-MpPreference -ExclusionPath 'C:'
    }
    
    # Supprimez le fichier chiffré fictif et le dossier
    $dummyPath = "C:RansomTestencrypted.txt"
    if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force }
    $folder = Split-Path $dummyPath
    if (Test-Path $folder) { Remove-Item $folder -Recurse -Force }
    
    Write-Host "Nettoyage terminé. Paramètres de Defender restaurés."