The Gentlemenランサムウェア検知：グループポリシーを悪用し高度なツールを用いる新たな攻撃キャンペーンが重要組織を標的に

新たに特定されたBQTLOCKランサムウェア（フルRaaSモデル経由で配布）の直後、セキュリティ研究者は別の大規模なランサムウェア作戦を検出しました。以前は未確認だったグループ、「The Gentlemen」は、高度に専門化されたツールを使用し、17以上の地域および複数のセクターの重要インフラを標的に徹底的な偵察を行うことで、短期間で注目を集めています。彼らのキャンペーンでは、正規ドライバの悪用、グループポリシー操作、カスタムアンチAVツール、特権アカウントの侵害、暗号化データの外部流出チャネルが組み合わされています。

Gentlemen ランサムウェア検出

2025年第1四半期、Check Pointはランサムウェア攻撃の急増を観測しました。前年同期比で126％増加し、組織は1日平均275件のインシデントに直面しています。Sophosの「State of Ransomware 2025」レポートによると、攻撃の主な要因は、40.2％の組織が十分な社内専門知識を欠いていたこと、40.1％が未特定のセキュリティギャップを抱えていたこと、39.4％が人員や能力不足に悩まされていたことです。このため、ますます高度化する脅威に対して脆弱な状態にあります。

Gentlemenのような新たなランサムウェア亜種が登場し続ける中、サイバー防御者は、迅速かつ高品質な検知コンテンツと高度なサイバーセキュリティツールに依存して、急速に進化する脅威環境に対応する必要があります。

SOC Primeプラットフォームに登録して、タイムリーな脅威インテリジェンスと実用的な検知コンテンツを入手できます。AI搭載の検知エンジニアリング、自動脅威ハンティング、高度な脅威検知を備えた製品スイートに支えられています。下のExplore Detectionsボタンをクリックして、Gentlemenランサムウェア活動の検知に役立つSigmaルールのキュレーションスタックにアクセスしてください。

Explore Detections

SOC Primeプラットフォーム上のすべてのルールは複数のSIEM、EDR、データレイクソリューションと互換性があり、MITRE ATT&CK®フレームワークにマッピングされています。さらに、各ルールには、CTI参照、攻撃タイムライン、トリアージ推奨などの詳細なメタデータが含まれています。

必要に応じて、サイバー防御者はより広範な「Ransomware」タグを適用して、世界中のランサムウェア攻撃をカバーするより広範な検知ルールにアクセスできます。

セキュリティ専門家は、検知エンジニアリングのためのプライベートIDE兼コパイロットであるUncoder AIを使用して脅威調査を効率化できます。最新のUncoder AI アップデートでは、新しいAIチャットボットモードとMCPツールが導入され、サイバー防御者が検知エンジニアリングタスクをエンドツーエンドで管理できるようになりました。任意の言語でカスタムプロンプトを入力するか、対話型のユーザーフレンドリーなインターフェイスで事前構築されたタスクを選択できます。例えば、サイバー防御者はGentlemenランサムウェアに関するTrend Microの最新レポートを使って、ワンクリックで攻撃フローを生成できます。

The Gentlemen ランサムウェア分析

2025年8月、Trend Microの研究者は、The Gentlemenという新たで未確認の脅威グループによる新しいランサムウェアキャンペーンを調査しました。攻撃者は、企業環境を体系的に侵害し、高度な運用能力を示すことで、脅威ランドスケープに短期間で影響を及ぼしました。特に、Gentlemenランサムウェアグループはキャンペーン中にツールを適応させ、汎用アンチAVユーティリティからターゲットに特化した高度なバリアントへ進化させ、その柔軟性と持続性を示しました。

Gentlemenは、製造業、建設業、医療、保険セクターの組織を主に標的とし、少なくとも17か国で攻撃を行いました。また、ランサムウェア展開に特権ドメインアカウントを利用し、セキュリティ防御を回避し持続性を維持する高度な回避手法を開発しました。

Gentlemenは、インターネットに公開されたサービスや侵害された資格情報を悪用して足掛かりを得た可能性が高いです。Advanced IP Scannerの使用など、ネットワーク偵察の初期の兆候は、偶発的な侵害ではなく計画的な侵入戦略を示しています。攻撃者はこのツールを使ってインフラをマッピングし、Active Directoryを調査し、ドメインおよびエンタープライズ管理者アカウントやitgateadminのようなカスタム特権グループに注目しました。

バッチスクリプト（1.bat）を実行してドメイン内の60以上のユーザーアカウントを列挙し、標準の管理グループや仮想化関連グループ（例：VMware）も調査し、ハイブリッド環境における横移動の準備を示しました。

初期の防御回避のため、グループはAll.exeとThrottleBlood.sysを展開し、正規署名済みドライバを悪用して保護されたセキュリティツールのカーネルレベルプロセスを終了させました。制限を認識した後、Gentlemenランサムウェアグループは既存のエンドポイント保護を詳細に調査し、特権昇格のためにPowerRun.exeを使用するように切り替え、セキュリティサービスの無効化を試みました。その後、特定のセキュリティエージェントプロセスを終了するためにカスタムツール（Allpatch2.exe）を導入し、被害者環境に応じて手法を調整する能力を示しました。横移動のために、攻撃者はPsExecを使用し、認証やリモートアクセス防御を弱体化させるために重要なレジストリ設定を操作しました。正規のリモートツールを通じてC2アクセスを維持し、リビングオフザランド手法とカスタム回避ユーティリティを組み合わせた専門性を強調しました。

Gentlemenランサムウェアは、バックアップ、データベース、セキュリティ運用に関連する重要サービスを積極的にシャットダウンし、混乱を最大化します。特定のコマンドを使用してプロセスを系統的に終了させるほか、回復努力やフォレンジック分析を妨害する追加コマンドも実行します。最終段階として、短い遅延を導入するpingコマンドを使い、ランサムウェアバイナリを削除した後、自身を削除するクリーンアップバッチスクリプトを展開し、暗号化プロセス終了後に痕跡を完全に消去します。

Gentlemenランサムウェアキャンペーンは、先進技術と持続的かつ標的型の運用を組み合わせた現代の脅威の急速な進化を示しています。カスタム防御回避ツールの使用、既存セキュリティへの適応、正規および脆弱コンポーネントの悪用により、階層化された防御を効果的に突破します。重要インフラへの攻撃と二重恐喝の使用に焦点を当てることで、一般的なランサムウェアから高度に標的化された攻撃への移行を浮き彫りにし、検知、予防、対応の課題を大幅に増加させます。Gentlemenランサムウェアグループがインターネット公開システムやVPNを悪用していることから、初期アクセスを阻止し潜在的影響を抑えるためにはゼロトラストの導入が不可欠です。潜在的な緩和策として、組織はドメインコントローラー共有アクセスを制限・監視し、ドライバ悪用やアンチAV活動の兆候を示すホストを自動隔離することが推奨されます。時間制限付きの特権アクセスを適用し自動で権限を降格させ、Active Directoryの大量クエリやグループ変更を検知し、重要共有におけるデコイ技術を展開して早期に偵察を捕捉することも、攻撃面を減らすための重要な措置です。SOC Primeは、AI、自動化機能、リアルタイム脅威インテリジェンスを備え、ゼロトラスト原則に基づいた企業向けセキュリティ保護のための完全な製品スイートをキュレーションしており、世界中の組織がスケールして防御を強化できるよう支援します。