Spiegazione dell’Emulazione di Gentlemen Ransomware

SOC Prime Team

Segui

Spiegazione dell’Emulazione di Gentlemen Ransomware

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

Il gruppo ransomware Gentlemen è attivo da luglio 2025 e segue un modello di doppia estorsione, combinando la crittografia dei file con il furto di dati e l’estorsione tramite leak-site. Il malware è scritto in Go, supporta ambienti Windows, Linux e ESXi, e utilizza un argomento password hard-coded durante il processo di crittografia. Gli operatori si affidano anche a una ricognizione ampia, all’abuso degli oggetti Criteri di gruppo e a strumenti legittimi come WinSCP per spostare ed esfiltrare dati in forma criptata.

Indagine

AttackIQ ha pubblicato un’emulazione che ricrea le tattiche, tecniche e procedure descritte da diversi fornitori di sicurezza, coprendo l’accesso iniziale, la persistenza, l’evasione della difesa, la scoperta, il movimento laterale e l’impatto. L’emulazione include comportamenti come la creazione di attività pianificate, chiavi Run del registro, servizi dannosi, modifiche alle regole del firewall e la cancellazione delle copie shadow dei volumi.

Mitigazione

I difensori dovrebbero osservare attività PowerShell sospette, creazione di attività pianificate inaspettate, modifiche al registro relative alle sessioni null e alle esclusioni di Microsoft Defender, e tentativi di abilitare SMBv1. La segmentazione della rete e i controlli di accesso a privilegi minimi possono aiutare a limitare la capacità del gruppo di muoversi lateralmente attraverso le risorse condivise.

Risposta

Se viene rilevata un’attività correlata ai Gentlemen, isolare immediatamente il sistema colpito, raccogliere prove volatili, preservare il campione di ransomware e gli artefatti del registro associati, e iniziare le procedure di risposta agli incidenti per recuperare le copie shadow e i log degli eventi dai backup, se possibile. Dovrebbe essere condotta anche un’indagine forense completa per identificare il furto di credenziali e qualsiasi movimento laterale attraverso l’ambiente.

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef builtin fill:#dddddd %% Action nodes act_system_info[“Azione – T1082 Rilevamento informazioni di sistema Raccoglie versione OS, hostname e altri dettagli del sistema”] class act_system_info action act_persistence[“Azione – Persistenza”] class act_persistence action act_scheduled_task[“Azione – T1053.005 Attività pianificata Crea un task che viene eseguito all’avvio”] class act_scheduled_task action act_registry_run[“Azione – T1547.001 Chiavi Run del Registro / Avvio Aggiunge chiave Run in HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”] class act_registry_run action act_windows_service[“Azione – T1543.003 Servizio Windows Crea un nuovo servizio tramite sc.exe”] class act_windows_service action act_defense_evasion[“Azione – Evasione delle difese”] class act_defense_evasion action act_disable_defender[“Azione – T1562.001 Disabilitare o modificare strumenti Disattiva la protezione in tempo reale di Windows Defender”] class act_disable_defender action act_add_exclusions[“Azione – T1562.001 Disabilitare o modificare strumenti Aggiunge esclusioni tramite Set-MpPreference”] class act_add_exclusions action act_enable_firewall[“Azione – Abilitazione scoperta rete senza restrizioni”] class act_enable_firewall action act_discovery[“Azione – Fase di ricognizione”] class act_discovery action act_ad_domain[“Azione – T1482 Scoperta trust di dominio Ottiene informazioni AD con Get-ADDomain”] class act_ad_domain action act_ad_computers[“Azione – T1018 Scoperta sistemi remoti Enumera computer di dominio con Get-ADComputer”] class act_ad_computers action act_wmi_info[“Azione – T1082 Informazioni di sistema Raccolta dati tramite WMI”] class act_wmi_info action act_file_enum[“Azione – T1083 Scoperta file e directory Enumera file con FindFirstFileW/FindNextFileW”] class act_file_enum action act_volume_disc[“Azione – T1680 Scoperta storage locale Enumera volumi con Win32_Volume e Get-PSDrive”] class act_volume_disc action act_network_share[“Azione – T1049 Scoperta condivisioni di rete Scopre share con WNetOpenEnum/WNetEnumResource”] class act_network_share action act_lateral_movement[“Azione – Movimento laterale”] class act_lateral_movement action act_create_share[“Azione – T1021 Servizi remoti Crea una condivisione SMB nascosta con net share”] class act_create_share action act_modify_acls[“Azione – T1222.001 Scoperta gruppi di permessi Assegna permessi anonimi completi con icacls”] class act_modify_acls action act_null_session[“Azione – T1556.009 Manipolazione token di accesso Modifica chiavi di registro NullSessionShares e impostazioni anonime”] class act_null_session action act_copy_payload[“Azione – Copia payload ransomware su host remoto”] class act_copy_payload action act_execute_wmi[“Azione – T1047 Windows Management Instrumentation Esecuzione remota tramite WMI/WMIC”] class act_execute_wmi action act_impact[“Azione – Fase di impatto”] class act_impact action act_delete_shadow[“Azione – T1490 Impedire ripristino del sistema Elimina shadow copy con vssadmin e wmic”] class act_delete_shadow action act_clear_logs[“Azione – T1070.001 Eliminazione log eventi Windows Cancella log con wevtutil.exe”] class act_clear_logs action act_encrypt_files[“Azione – T1486 Cifratura dati per impatto Cifra file con XChaCha20 e protegge chiavi con Curve25519”] class act_encrypt_files action %% Connections act_system_info –>|porta a| act_persistence act_persistence –>|crea| act_scheduled_task act_persistence –>|crea| act_registry_run act_persistence –>|crea| act_windows_service act_persistence –>|porta a| act_defense_evasion act_defense_evasion –>|usa| act_disable_defender act_defense_evasion –>|usa| act_add_exclusions act_defense_evasion –>|usa| act_enable_firewall act_defense_evasion –>|porta a| act_discovery act_discovery –>|include| act_ad_domain act_discovery –>|include| act_ad_computers act_discovery –>|include| act_wmi_info act_discovery –>|include| act_file_enum act_discovery –>|include| act_volume_disc act_discovery –>|include| act_network_share act_discovery –>|porta a| act_lateral_movement act_lateral_movement –>|crea| act_create_share act_lateral_movement –>|modifica| act_modify_acls act_lateral_movement –>|modifica| act_null_session act_lateral_movement –>|copia| act_copy_payload act_lateral_movement –>|esegue| act_execute_wmi act_execute_wmi –>|porta a| act_impact act_impact –>|include| act_delete_shadow act_impact –>|include| act_clear_logs act_impact –>|include| act_encrypt_files

Flusso di Attacco

Narrazione dell’Attacco & Comandi

Un aggressore che ha acquisito un’esecuzione con privilegi bassi su un server Windows associato al dominio desidera preparare l’ambiente per il deployment di ransomware. Utilizzano cmdlet PowerShell nativi per:

Disabilita la protezione in tempo reale (Set-MpPreference).
Apri porte firewall (Enable-NetFirewallRule).
Abilita funzionalità aggiuntive di Windows (Import-Module ServerManager + Enable-WindowsOptionalFeature).
Raccogli informazioni sul dominio (Get-ADDomain, Get-ADComputer).
Enumera i dettagli del sistema (Get-WmiObject Win32_ComputerSystem, Get-PSDrive).
Copia payload dannosi in una condivisione remota (Copy-Item).

Ogni passaggio è eseguito in un processo PowerShell separato per garantire che la riga di comando di ogni processo contenga una delle stringhe che la regola Sigma osserva per, generando così la telemetria richiesta.

Script di Test di Regressione

# -------------------------------------------------
# Script di simulazione – attiva la regola di rilevamento del ransomware Gentlemen
# -------------------------------------------------
# NOTA: Eseguire su un host Windows non di produzione e isolato.

# 1. Disabilita il monitoraggio in tempo reale di Windows Defender
powershell.exe -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 2. Abilita una regola del firewall (es., consenti SMB in entrata)
powershell.exe -Command "Enable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'"

# 3. Installa il modulo Server Manager e abilita una funzionalità di Windows
powershell.exe -Command "Import-Module ServerManager; Enable-WindowsOptionalFeature -Online -FeatureName TelnetClient -NoRestart"

# 4. Enumera informazioni dominio AD
powershell.exe -Command "Get-ADDomain | Out-Null"

# 5. Elenca i computer AD (scoperta)
powershell.exe -Command "Get-ADComputer -Filter * | Select-Object Name | Out-Null"

# 6. Interroga WMI per i dettagli di sistema
powershell.exe -Command "Get-WmiObject Win32_ComputerSystem | Out-Null"

# 7. Mostra i drive PS correnti
powershell.exe -Command "Get-PSDrive | Out-Null"

# 8. Copia un file di prova in una condivisione remota per simulare il movimento laterale
#    (Sostituire REMOTE-SERVERShare con una condivisione SMB raggiungibile nel vostro laboratorio)
$dummy = "$env:TEMPdummy.txt"
"test" | Out-File -FilePath $dummy -Encoding ASCII
powershell.exe -Command "Copy-Item -Path '$dummy' -Destination '\REMOTE-SERVERSharedummy.txt'"

# Cancella il file di prova localmente
Remove-Item $dummy -Force

Comandi di Pulizia

# -------------------------------------------------
# Script di pulizia – ripristina l'host al suo stato pre-test
# -------------------------------------------------
# Riabilita la protezione in tempo reale di Windows Defender
Set-MpPreference -DisableRealtimeMonitoring $false

# Disabilita la regola del firewall aggiunta sopra (se ancora presente)
Disable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'

# Rimuovi il file di prova dalla condivisione remota (richiede il permesso di scrittura)
Remove-Item -Path '\REMOTE-SERVERSharedummy.txt' -Force -ErrorAction SilentlyContinue

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis