TokyoBlackHatNews

gbhackers.com 5分で読了

Gentlemen ランサムウェアが Windows、Linux、NAS、BSD、ESXi システムを狙う

Gentlemen ランサムウェア作戦は、2025 年後半に公開されて以来、最も活発でスケーラブルなサイバー犯罪の脅威の 1 つとして急速に浮上しました。

Gentlemen は、Windows、Linux、NAS、BSD、VMware ESXi 環境を含む幅広いエンタープライズシステムをターゲットにできる能力で際立っています。

この系統は、グループが確立されたインフラストラクチャ、経験、およびアフィリエイトネットワークから利益を得ており、2026 年での急速な成長を可能にしていることを示唆しています。

このクロスプラットフォーム機能により、攻撃者は特に仮想化インフラストラクチャで混乱を最大化でき、ESXi サーバーを侵害するとデータセンター全体に影響を与える可能性があります。

インシデントで観察された攻撃チェーンには、公開されたリモートサービスの悪用、認証情報の侵害、VPN またはファイアウォールアクセスの悪用が含まれます。

LevelBlue のセキュリティ研究者は、このグループは完全に新しいものではなく、むしろ以前のランサムウェアアフィリエイト活動の継続であり、Qilin エコシステムおよび「hastalamuerte」として知られるロシア語を話す行為者とのつながりがあると評価しています。

Image

内部に侵入すると、攻撃者はネットワーク偵察を実行し、特権をエスカレートし、セキュリティツールをオフにし、ドメイン全体にランサムウェアを展開します。データ流出は中心的なステップであり、グループの二重恐喝戦略を強化します。

ランサムウェア・アズ・ア・サービス モデル

Gentlemen は、専用のアフィリエイトパネルを備えた構造化されたランサムウェア・アズ・ア・サービス (RaaS) モデルを運営しています。このバックエンドは、ペイロード生成、身代金メモのカスタマイズ、被害者追跡、および交渉管理をサポートしていると報告されています。

Image

アフィリエイトは、Tox や Session などの外部通信ツールも使用する可能性があり、インシデント追跡を複雑にしています。

グループの身代金メモ(一般的に「README-GENTLEMEN.txt」と名付けられている)は、「.7mtzhh」などの拡張子またはその他のランダム化されたバリアントを使用する暗号化ファイルに付随しています。

マルウェア自体は Go で記述されていると報告されており、実行時にパスワードパラメータが必要です。これにより、アフィリエイトは展開を制御し、自動分析を回避できます。

暗号化はハイブリッドモデルを使用しており、小さいファイルは完全に暗号化され、大きいファイルは影響を加速するためにチャンク単位で部分的に暗号化されます。

暗号化の前に、マルウェアはバックアップ、データベース、および企業アプリケーションに関連するサービスを終了し、復旧を妨害します。

2026 年 5 月までに、Gentlemen はそのリークサイトで 352 人の被害者を主張し、世界的に最も活動的なランサムウェアグループの中に位置付けられています。

Image

ただし、インシデント対応データは、侵害された組織の実際の数がはるかに多く、1,500 以上の環境が公開リークサイトに表示されなかった関連活動を示していることを示唆しています。

グループは幅広い業界をターゲットにしており、最高の集中度は以下の通りです:

  • 専門サービス(18.8%)。
  • 製造(17.9%)。
  • テクノロジー(11.6%)。
  • ヘルスケア(8.8%)。

地理的には、活動は 70 か国以上にわたり、APAC(28.7%)、ヨーロッパ(28.4%)、アメリカ大陸でのシェアが最大です。

米国は国レベルでリードしており、その後、タイ、フランス、ブラジルが続きます。注目すべきことに、ロシアと CIS 諸国は存在せず、典型的なランサムウェアのターゲッティングパターンと一致しています。

Image

データ盗難は Gentlemen ランサムウェア作戦で中心的な役割を果たしています。盗まれたデータは、リークサイトと潜在的な転売を通じて被害者に圧力をかけるために使用されます。

最近、アンダーグラウンドフォーラムでは、グループに関連していると主張されるデータの請求が特集されており、ビットコインで約 10,000 ドルで販売されています。

脅威行為者が共有したいくつかのサンプルには、認証情報ファイル、内部チャットログ、および被害者データマッピングなどの機密アーティファクトが含まれているようです。 1 つのインスタンスでは、以前に知られていた被害者組織への参照が特定されました。

ただし、研究者はこれらの請求は未検証のままであり、グループのインフラストラクチャの確認された侵害ではなく、インテリジェンスのリードとして扱われるべきであると注意しています。

Gentlemen の台頭は、ランサムウェア作戦のより広い傾向を反映しています:アフィリエイト駆動型のスケール、侵害された認証情報への依存、および公開されたインフラストラクチャの悪用。

リスクは暗号化を超えて、データ露出、規制上の結果、および評判上の損害を含みます。

たとえば、製造会社が攻撃後にバックアップからシステムを復元したとしても、盗まれた設計文書または財務記録は依然としてリークまたは販売される可能性があり、長期的なビジネスへの影響を引き起こす可能性があります。

組織は、リモートアクセスサービスの保護の優先順位付け、多要素認証の実装、特権アカウントの監視、および回復力のある分離されたバックアップの確保を優先することをお勧めします。

検出戦略は、ランサムウェア展開の前に、異常な管理活動、横方向の移動、データステージングなどの初期段階の攻撃者の行動に焦点を当てるべきです。

Gentlemen が業務をスケーリングし続ける中で、技術的能力とアフィリエイト駆動型の拡張の組み合わせは、それを持続的で進化する世界的な脅威にしています。

翻訳元: https://gbhackers.com/gentlemen-ransomware-operation/

ソース: gbhackers.com
#ESXi仮想化攻撃 #Gentlemen ランサムウェア #アフィリエイト駆動型犯罪 #グローバルサイバー脅威 #クロスプラットフォーム攻撃 #データ盗難 #ランサムウェア・アズ・ア・サービス #二重恐喝戦略 #認証情報侵害 #身代金要求

関連記事

Operation Ramz:詐欺およびマルウェアキャンペーンに使用された53台のサーバーを破壊

macOS マルウェアが偽のGoogleアップデートを悪用して永続化

学習管理プラットフォームへの攻撃について責任を認めるShinyHunters