Licenza di Crittografare: Quando “I Signori” Passano all’Offensiva
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il collettivo di ransomware The Gentlemen è emerso a luglio 2025, eseguendo un’operazione di doppia estorsione che crittografava i dati delle vittime e sottraeva informazioni sensibili. Il malware è multipiattaforma, prendendo di mira ambienti Windows, Linux ed ESXi, e include funzionalità di auto-riavvio, persistenza all’avvio e limitazione configurabile della crittografia. La propagazione si basa su WMI, PowerShell remoting, SCHTASKS e altri strumenti di amministrazione integrati di Windows. Gli operatori gestiscono The Gentlemen come un’offerta RaaS, fornendo agli affiliati ampie opzioni di tuning e personalizzazione.
Analisi dell’Attacco Ransomware The Gentlemen
L’analisi di Cybereason di un campione Windows a 64 bit in Golang ha documentato i suoi switch da riga di comando, il testo della nota di riscatto incorporato e un ampio set di routine PowerShell anti-forensi. I ricercatori hanno anche individuato le posizioni del registro utilizzate per la persistenza, una lista di “kill” dei servizi mirata a disabilitare i processi critici e l’affidamento su binari Windows nativi per l’escalation dei privilegi e il movimento laterale. La pipeline di crittografia è costruita su XChaCha20 e Curve25519.
Mitigazione
Le misure difensive suggerite includono l’applicazione dell’autenticazione multifattore, il mantenimento di frequenti backup offline, l’applicazione tempestiva delle patch di sicurezza e il rafforzamento dei controlli di esecuzione di PowerShell e WMI. Gli stack di protezione degli endpoint dovrebbero abilitare il monitoraggio in tempo reale anti-malware, le protezioni anti-ransomware e la protezione delle copie shadow di VSS. I team di sicurezza dovrebbero anche monitorare le modifiche anomale al registro, le attività pianificate di nuova creazione e i modelli di comando caratteristici di PowerShell.
Risposta
Quando viene identificata l’attività del ransomware The Gentlemen, isolare immediatamente il sistema interessato, catturare la memoria volatile e raccogliere artefatti chiave, come voci di registro, attività pianificate e log degli eventi PowerShell. Eseguire l’acquisizione forense delle note di riscatto e dei file crittografati, quindi ripristinare i sistemi interessati da backup affidabili una volta verificata l’eradicazione. Coinvolgere i team di risposta agli incidenti per indagare sui percorsi di movimento laterale e le prove di esfiltrazione dei dati.
Flusso d’attacco
Rilevamenti
Rilevamento della persistenza e propagazione del ransomware The Gentlemen [Creazione Processi Windows]
Visualizza
Rileva i comandi PowerShell usati dal ransomware “The Gentlemen” [Windows Powershell]
Visualizza
Modifiche sospette alle preferenze di Windows Defender (tramite PowerShell)
Visualizza
Possibile utilizzo di PING per ritardo nell’esecuzione (tramite cmdline)
Visualizza
Possibili punti di persistenza [ASEPs – Hive Software/NTUSER] (tramite registry_event)
Visualizza
Esecuzione Simulazione
Prerequisito: Il controllo Pre-volo Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa e comandi dell’attacco:
- Obiettivo: Disabilitare la protezione in tempo reale di Windows Defender e aggiungere un percorso di esclusione per permettere al payload del ransomware di scrivere file crittografati senza ostacoli.
-
Metodo: Utilizzare un PowerShell
Invoke‑Commandcon un blocco di script inline che esegue i due comandi di preferenza di Defender. Questo rispecchia la sintassi esatta osservata nei campioni di ransomware “The Gentlemen”. -
Passaggi:
- Aprire una sessione PowerShell con privilegi elevati.
- Eseguire il
Invoke‑Commandche contiene il blocco di script malevolo. - Verificare che il monitoraggio in tempo reale di Defender sia disabilitato e che l’esclusione per
C:sia aggiunta. - (Opzionale) Creare un file crittografato di prova per emulare l’attività del ransomware.
-
Script di Test di Regressione: Il seguente script PowerShell auto-contenuto riproduce l’attacco esattamente come atteso dalla regola.
# ------------------------------------------------------------------ # Test script to trigger Sigma rule "Detect PowerShell Commands Used by # 'The Gentlemen' Ransomware" # ------------------------------------------------------------------ # Ensure script runs as Administrator if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Run this script with elevated (Administrator) privileges." exit 1 } # 1️⃣ Disable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Add exclusion for the C: drive Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Optional) Simulate ransomware file creation $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulation completed. Defender should now be disabled and exclusion added." -
Comandi di Pulizia: Ripristina Defender al suo stato predefinito e rimuovi gli artefatti di test.
# ------------------------------------------------------------------ # Cleanup script – re‑enable Defender and delete test files # ------------------------------------------------------------------ # Re‑enable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Remove the C: exclusion Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Delete dummy encrypted file and folder $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Cleanup completed. Defender settings restored."