SOC Prime Bias: Високий

21 Nov 2025 16:30 UTC

Ліцензія на шифрування: коли «джентльмени» переходять у наступ

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Ліцензія на шифрування: коли «джентльмени» переходять у наступ
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Група зловмисників, що стоїть за програмою-вимагачем The Gentlemen, з’явилася в липні 2025 року, здійснюючи операцію подвійного вимагання, яка шифрує дані жертв і викрадає чутливу інформацію. Шкідливий софт є кросплатформеним, націленим на середовища Windows, Linux і ESXi, і включає можливості самоперезапуску, стійкість при завантаженні та налаштовуваний обмежувач шифрування. Поширення базується на WMI, PowerShell remoting, SCHTASKS та інших вбудованих засобах адміністрування Windows. Оператори The Gentlemen діють як RaaS-сервіс, надаючи афіліатам розширені можливості налаштовування й кастомізації.

Аналіз атаки з використанням програми-вимагача The Gentlemen

Аналіз Cybereason 64-бітного зразка Golang для Windows задокументував його командні перемикачі, вбудований текст нотатки-вимагача та широкий набір антифорензичних PowerShell-рутін. Дослідники також визначили місця в реєстрі, що використовуються для стійкості, список служб для вимкнення критичних процесів і використання вбудованих бінарних файлів Windows для підвищення привілей та бічного переміщення. Потік шифрування побудований на XChaCha20 і Curve25519.

Пом’якшення

Запропоновані захисні заходи включають введення великофакторної аутентифікації, часті резервні копії офлайн, своєчасне застосування патчів безпеки і контроль виконання PowerShell і WMI. Захисні стеки кінцевих точок повинні мати активний захист від шкідливих програм і програм-вимагачів, а також захист копій VSS. Команди безпеки повинні також моніторити незвичайні зміни в реєстрі, новостворені завдання планувальника та характерні шаблони команд PowerShell.

Відповідь

Якщо діяльність програми-вимагача The Gentlemen виявлена, негайно ізолюйте постраждалу систему, захопіть мінливу пам’ять і зберіть ключові артефакти, такі як записи реєстру, заплановані завдання та журнали подій PowerShell. Проведіть форензічне захоплення нотаток-вимагачів і зашифрованих файлів, а потім відновіть постраждалі системи з надійних резервних копій після підтвердження ліквідації. Залучіть команди з реагування на інциденти для дослідження шляхів бічного переміщення та доказів ексфільтрації даних.

Потік атаки

Виконання імітації

Попередня умова: Перевірка телеметрії та базового рівня перед польотом повинна бути пройдена.

Аргументація: Цей розділ описує точне виконання техніки противника (TTP), покликане викликати правило детекції. Команди та наратив ПОВИННІ безпосередньо відображати визначені TTP та мають генерувати очікувану телеметрію, задану логікою детекції. Абстрактні чи не пов’язані приклади призведуть до неправильного діагностування.

  • Атака та команди:

    1. Мета: Вимкнути захист в режимі реального часу Windows Defender та додати шлях виключення, щоб дозволити програмі-вимагачу записувати зашифровані файли безперешкодно.
    2. Метод: Використайте PowerShell Invoke‑Command з командним блоком скрипта, що виконує дві команди налаштування Defender. Це відтворює точний синтаксис, помічений у зразках програми-вимагача “The Gentlemen”.
    3. Кроки:
      • Відкрити сесію PowerShell з підвищеними правами.
      • Виконати Invoke‑Command що містить шкідливий командний блок скрипта.
      • Переконатися, що моніторинг у реальному часі Defender вимкнено та що виключення для C: додано.
      • (Необов’язково) Створити фіктивний зашифрований файл для імітації активності програми-вимагача.
  • Тестовий сценарій заміщування: Наступний самодостатній PowerShell сценарій відтворює атаку саме так, як очікує правило.

    # ------------------------------------------------------------------
    # Тестовий скрипт для запуску правила Sigma "Виявлення команд PowerShell, використаних
    # 'The Gentlemen' Ransomware"
    # ------------------------------------------------------------------
    # Переконайтеся, що скрипт запускається як адміністратор
    if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator))
    {
        Write-Error "Запустіть цей скрипт з привілеями адміністратора."
        exit 1
    }
    
    # 1️⃣ Вимкнути моніторинг у реальному часі
    Invoke-Command -ScriptBlock {
        Set-MpPreference -DisableRealtimeMonitoring $true
    }
    
    # 2️⃣ Додати виключення для диску C:
    Invoke-Command -ScriptBlock {
        Add-MpPreference -ExclusionPath 'C:'
    }
    
    # 3️⃣ (Необов'язково) Імітувати створення файлу-вимагача
    $dummyPath = "C:RansomTestencrypted.txt"
    New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null
    "Це мака перемогою шифрувальника." | Set-Content -Path $dummyPath -Encoding UTF8
    
    Write-Host "Симуляція завершена. Defender має бути вимкнуто та виключення додано."
  • Команди очищення: Відновіть Defender до його стану за замовчуванням та видаліть тестові артефакти.

    # ------------------------------------------------------------------
    # Скрипт очищення – повторно ввімкніть Defender та видаліть тестові файли
    # ------------------------------------------------------------------
    # Повторно ввімкніть моніторинг у реальному часі
    Invoke-Command -ScriptBlock {
        Set-MpPreference -DisableRealtimeMonitoring $false
    }
    
    # Видалити виключення C:
    Invoke-Command -ScriptBlock {
        Remove-MpPreference -ExclusionPath 'C:'
    }
    
    # Видалити фіктивний зашифрований файл і папку
    $dummyPath = "C:RansomTestencrypted.txt"
    if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force }
    $folder = Split-Path $dummyPath
    if (Test-Path $folder) { Remove-Item $folder -Recurse -Force }
    
    Write-Host "Очищення завершено. Налаштування Defender відновлено."