Licença para Criptografar: Quando ‘Os Cavalheiros’ Entram em Ofensiva
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O coletivo de ransomware The Gentlemen surgiu em julho de 2025, operando uma estratégia de dupla extorsão que cifrava dados das vítimas e extraía informações sensíveis. O malware é multiplataforma, visando ambientes Windows, Linux e ESXi, e inclui capacidades de reinício automático, persistência no boot e regulação configurável da criptografia. A propagação depende de WMI, PowerShell remoting, SCHTASKS e outras ferramentas administrativas internas do Windows. Os operadores gerem o The Gentlemen como uma oferta RaaS, proporcionando aos afiliados opções extensivas de ajuste e personalização.
Análise do Ataque do Ransomware The Gentlemen
A análise da Cybereason de um amostra Windows de 64 bits em Golang documentou seus switches de linha de comando, texto da nota de resgate incorporado e um amplo conjunto de rotinas anti-forenses em PowerShell. Os pesquisadores também localizaram locais de registro usados para persistência, uma ‘lista de mortes’ de serviços destinada a desativar processos críticos, e dependência de binários nativos do Windows para escalonamento de privilégios e movimento lateral. O pipeline de criptografia é construído sobre XChaCha20 e Curve25519.
Mitigação
Medidas defensivas sugeridas incluem a aplicação da autenticação multifator, manutenção de backups offline frequentes, aplicação imediata de patches de segurança e restrição dos controles de execução do PowerShell e WMI. As pilhas de proteção de endpoints devem habilitar salvaguardas anti-malware em tempo real, anti-ransomware e proteção para cópias de sombra VSS. As equipes de segurança também devem monitorar modificações anômalas no registro, novas tarefas agendadas e padrões característicos de comandos PowerShell.
Resposta
Quando a atividade do ransomware The Gentlemen é identificada, isole imediatamente o sistema afetado, capture a memória volátil e colete artefatos chave, como entradas de registro, tarefas agendadas e logs de eventos do PowerShell. Realize a aquisição forense de notas de resgate e arquivos criptografados, depois restaure sistemas afetados a partir de backups confiáveis uma vez que a erradicação seja verificada. Envolva equipes de resposta a incidentes para investigar caminhos de movimento lateral e evidências de exfiltração de dados.
Fluxo de Ataque
Detecções
Detecção de Persistência e Propagação do Ransomware The Gentlemen [Criação de Processo no Windows]
Ver
Detectar Comandos PowerShell Usados pelo Ransomware “The Gentlemen” [Powershell do Windows]
Ver
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Ver
Possível Uso do PING para Execução com Atraso (via linha de comando)
Ver
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via evento de registro)
Ver
Execução de Simulação
Pré-requisito: O Primeiro Verificador de Telemetria e Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
- Objetivo: Desativar a proteção em tempo real do Windows Defender e adicionar um caminho de exclusão para permitir que o ransomware escreva arquivos criptografados sem impedimentos.
- Método: Use um PowerShell
Invoke‑Commandcom um bloco de script embutido que executa os dois comandos de preferência do Defender. Isso espelha a sintaxe exata observada em amostras do ransomware “The Gentlemen”. - Passos:
- Abra uma sessão PowerShell com privilégios elevados.
- Execute o
Invoke‑Commandque contém o bloco de script malicioso. - Verifique se o monitoramento em tempo real do Defender está desativado e se a exclusão para
C:foi adicionada. - (Opcional) Crie um arquivo criptografado fictício para emular a atividade de ransomware.
-
Script de Teste de Regressão: O seguinte script PowerShell autônomo reproduz o ataque exatamente como a regra espera.
# ------------------------------------------------------------------ # Test script to trigger Sigma rule "Detect PowerShell Commands Used by # 'The Gentlemen' Ransomware" # ------------------------------------------------------------------ # Ensure script runs as Administrator if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Run this script with elevated (Administrator) privileges." exit 1 } # 1️⃣ Disable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Add exclusion for the C: drive Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Optional) Simulate ransomware file creation $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Simulation completed. Defender should now be disabled and exclusion added." -
Comandos de Limpeza: Restaure o Defender ao seu estado padrão e remova artefatos de teste.
# ------------------------------------------------------------------ # Cleanup script – re‑enable Defender and delete test files # ------------------------------------------------------------------ # Re‑enable real‑time monitoring Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Remove the C: exclusion Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Delete dummy encrypted file and folder $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Cleanup completed. Defender settings restored."