Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O coletivo de ransomware The Gentlemen surgiu em julho de 2025, operando uma estratégia de dupla extorsão que cifrava dados das vítimas e extraía informações sensíveis. O malware é multiplataforma, visando ambientes Windows, Linux e ESXi, e inclui capacidades de reinício automático, persistência no boot e regulação configurável da criptografia. A propagação depende de WMI, PowerShell remoting, SCHTASKS e outras ferramentas administrativas internas do Windows. Os operadores gerem o The Gentlemen como uma oferta RaaS, proporcionando aos afiliados opções extensivas de ajuste e personalização.
Análise do Ataque do Ransomware The Gentlemen
A análise da Cybereason de um amostra Windows de 64 bits em Golang documentou seus switches de linha de comando, texto da nota de resgate incorporado e um amplo conjunto de rotinas anti-forenses em PowerShell. Os pesquisadores também localizaram locais de registro usados para persistência, uma ‘lista de mortes’ de serviços destinada a desativar processos críticos, e dependência de binários nativos do Windows para escalonamento de privilégios e movimento lateral. O pipeline de criptografia é construído sobre XChaCha20 e Curve25519.
Mitigação
Medidas defensivas sugeridas incluem a aplicação da autenticação multifator, manutenção de backups offline frequentes, aplicação imediata de patches de segurança e restrição dos controles de execução do PowerShell e WMI. As pilhas de proteção de endpoints devem habilitar salvaguardas anti-malware em tempo real, anti-ransomware e proteção para cópias de sombra VSS. As equipes de segurança também devem monitorar modificações anômalas no registro, novas tarefas agendadas e padrões característicos de comandos PowerShell.
Resposta
Quando a atividade do ransomware The Gentlemen é identificada, isole imediatamente o sistema afetado, capture a memória volátil e colete artefatos chave, como entradas de registro, tarefas agendadas e logs de eventos do PowerShell. Realize a aquisição forense de notas de resgate e arquivos criptografados, depois restaure sistemas afetados a partir de backups confiáveis uma vez que a erradicação seja verificada. Envolva equipes de resposta a incidentes para investigar caminhos de movimento lateral e evidências de exfiltração de dados.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes – Actions / Techniques initial_access[“<b>Ação</b> – Acesso Inicial via ponto de apoio existente”] class initial_access action dll_sideload[“<b>Técnica</b> – <b>T1574.001 Sequestro do Fluxo de Execução: DLL</b><br/>OneDrive.exe carrega a SSPICLI.dll maliciosa por meio de DLL sideloading”] class dll_sideload technique powershell[“<b>Técnica</b> – <b>T1059.001 Interpretador de Comandos e Scripts: PowerShell</b><br/>Comandos PowerShell codificados em Base64 executados para verificações de rede e cópia de arquivos”] class powershell technique office_macro[“<b>Técnica</b> – <b>T1137.001 Inicialização de Aplicativos Office: Macros de Modelo do Office</b><br/>Macro VBA colocada em %APPDATA%\\Microsoft\\Outlook\\VbaProject.OTM”] class office_macro technique vba_stomping[“<b>Técnica</b> – <b>T1564.007 Ocultar Artefatos: VBA Stomping</b><br/>A macro monitora e-mails recebidos (Application_NewMailEx) para gatilhos de C2 e exfiltra dados”] class vba_stomping technique vb_interpreter[“<b>Técnica</b> – <b>T1059.005 Interpretador de Comandos e Scripts: Visual Basic</b><br/>O código VBA executa comandos e se comunica via Outlook”] class vb_interpreter technique %% Nodes – Files / Objects file_oneDrive[“<b>Arquivo</b> – OneDrive.exe”] class file_oneDrive file file_sspicli[“<b>Arquivo</b> – SSPICLI.dll”] class file_sspicli file file_vba[“<b>Arquivo</b> – VbaProject.OTM”] class file_vba file email_monitor[“<b>Objeto</b> – Aplicativo Outlook<br/>Monitora e-mails recebidos (Application_NewMailEx)”] class email_monitor action outlook_comm[“<b>Objeto</b> – Outlook<br/>Comunica-se com C2 e exfiltra dados”] class outlook_comm action %% Connections – Flow of the attack initial_access u002du002du003e|leva a| dll_sideload dll_sideload u002du002du003e|usa| file_oneDrive dll_sideload u002du002du003e|carrega| file_sspicli dll_sideload u002du002du003e|aciona| powershell powershell u002du002du003e|leva a| office_macro office_macro u002du002du003e|coloca| file_vba office_macro u002du002du003e|habilita| vba_stomping office_macro u002du002du003e|habilita| vb_interpreter vba_stomping u002du002du003e|monitora| email_monitor vb_interpreter u002du002du003e|comunica_via| outlook_comm
Fluxo de Ataque
Detecções
Detecção de Persistência e Propagação do Ransomware The Gentlemen [Criação de Processo no Windows]
Ver
Detectar Comandos PowerShell Usados pelo Ransomware “The Gentlemen” [Powershell do Windows]
Ver
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Ver
Possível Uso do PING para Execução com Atraso (via linha de comando)
Ver
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via evento de registro)
Ver
Execução de Simulação
Pré-requisito: O Primeiro Verificador de Telemetria e Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
- Objetivo: Desativar a proteção em tempo real do Windows Defender e adicionar um caminho de exclusão para permitir que o ransomware escreva arquivos criptografados sem impedimentos.
- Método: Use um PowerShell
Invoke‑Commandcom um bloco de script embutido que executa os dois comandos de preferência do Defender. Isso espelha a sintaxe exata observada em amostras do ransomware “The Gentlemen”. - Passos:
- Abra uma sessão PowerShell com privilégios elevados.
- Execute o
Invoke‑Commandque contém o bloco de script malicioso. - Verifique se o monitoramento em tempo real do Defender está desativado e se a exclusão para
C:foi adicionada. - (Opcional) Crie um arquivo criptografado fictício para emular a atividade de ransomware.
-
Script de Teste de Regressão: O seguinte script PowerShell autônomo reproduz o ataque exatamente como a regra espera.
# ------------------------------------------------------------------ # Test script to trigger Sigma rule "Detect PowerShell Commands Used by # 'The Gentlemen' Ransomware" # ------------------------------------------------------------------ # Ensure script runs as Administrator if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Run this script with elevated (Administrator) privileges." exit 1 } # 1️⃣ Disable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Add exclusion for the C: drive Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Optional) Simulate ransomware file creation $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulation completed. Defender should now be disabled and exclusion added." -
Comandos de Limpeza: Restaure o Defender ao seu estado padrão e remova artefatos de teste.
# ------------------------------------------------------------------ # Cleanup script – re‑enable Defender and delete test files # ------------------------------------------------------------------ # Re‑enable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Remove the C: exclusion Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Delete dummy encrypted file and folder $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Cleanup completed. Defender settings restored."