公開されたサーバー上で完全に機能するTheGentlemen ランサムウェアツールキットが発見され、被害者の認証情報、ngrokトークン、および完全な暗号化前のプレイブックが明かされました。
これにより、ロシアの防弾ホスティングプロバイダーProton66 OOOがホストする176.120.22[.]127:80の認証なしHTTPサーバーにたどり着き、18個のサブディレクトリ全体で126ファイル、約140 MBのデータが公開されていました。
Proton66は以前、SuperBlackランサムウェア、WeaXor、XWorm操作に関連付けられており、ランサムウェア・アズ・ア・サービスのエコシステムをサポートする役割を強調しています。
2026年3月12日、Hunt.ioのアナリストがTheGentlemenに関するCyberXTronのプレイブックでProton66上の公開されたオープンディレクトリを発見し、オープンディレクトリデータセットを検索しました。
このディレクトリは分析の約3週間前に最初に確認され、2026年2月下旬まで稼働していたため、放棄されたインフラストラクチャではなく、アクティブな最近の使用を示唆しています。
サーバーで公開されたもの
オープンディレクトリはランダムなマルウェアダンプではなく、ランサムウェア侵害の各段階に合わせた構造化された、メンテナンスされたツールキットでした。
主要なフォルダには、64ビットWindowsのコアツールを含む64-bit_newディレクトリ、権限昇格用のPowerRunサブフォルダ、およびMimikatzインフラストラクチャとログを含む「MIMIMI」ディレクトリが含まれていました。
ルートレベルのバイナリには、複数のPC HunterおよびPowerToolビルド、RustDeskリモートアクセス、ngrok、および7‑Zipなどのユーティリティツールが含まれており、合わせて約120 MBの重量がありました。
Hunt.ioの自動分析は、調査されたすべてのスクリプトを悪意のあるものとして分類し、偵察、権限昇格、防衛回避、認証情報の盗難、横展開、永続性、および暗号化前の準備にわたる21のMITRE ATT&CK技術にマッピングしました。
最も機密性の高い証拠は、MIMIMI/mimikatz/!logsディレクトリから来ました。このディレクトリには、以前の侵害からのライブ認証情報出力が保存されていました。
ログファイルにはNTLMパスワードハッシュ、ユーザー名、およびその他の認証情報の成果物が含まれており、ツールキットが実際の被害者に対して既に使用されたことを証明していました。
これらのログに加えて、Hunt.ioは設定ファイルとスクリプトにハードコードされた2つのngrok認証トークンを特定し、追加のインフラストラクチャへのオペレータのトンネルアクセスを明かしました。
これらのngrokトークンにより、防御者と法執行機関は迅速に対応すれば、グループのリモートアクセスチャネルを追跡または中断することさえできました。認証情報ログとトークンの組み合わせは、理論的な機能ではなく、ツールキットをアクティブな操作に効果的にリンクします。
z1.bat「ワンクリック」暗号化前の兵器
ツールキットの中心はz1.batで、単一実行の暗号化前ランサムウェアデプロイメントエンジンとして設計された35 KBのバッチスクリプトです。
当社の自動分析は、分析されたすべてのスクリプトを悪意のあるものとして分類し、セキュリティ設定を変更して権限を昇格させるスクリプト(Exploit)と機密の認証トークンを含むスクリプト(Config)にわたるカテゴリがありました。
スクリプトは複数のフェーズを連鎖させます。ファイルロックと保護を削除するために、数十のセキュリティ製品、データベースエンジン、バックアップツール、Hyper‑V、Exchange、および他のエンタープライズアプリケーション向けのサービスを削除およびオフにします。
レジストリの変更を通じてWindows Defenderを積極的に無効にし、ポリシー調整とタスク操作を行ってから、Defenderログとスキャン履歴をクリアして証拠を削除します。z1.batはまた、環境全体でランサムウェアの伝播を最大化するために、広くオープンなSMB共有(複数のドライブ文字でEveryoneに完全アクセスを許可)を作成します。
最後に、暗号化ペイロードが起動される前に、Windowsイベントログ、RDP履歴、およびごみ箱をワイプし、徹底的なアンチフォレンジクスステップを実装します。
公開されたProton66サーバーは、TheGentlemen関連企業がランサムウェア展開のために被害者を準備する方法の珍しいエンドツーエンドビューを提供しています。
PowerRun、PC Hunter、Defender Control、および大幅に変更されたDefender-killスクリプトなどのツールは、スケールでエンドポイント防御を確実にバイパスするグループの焦点を強調しています。
実際の被害者認証情報、ngrokトークン、および成熟した暗号化前スクリプトの存在は、このツールキットが実験的ではなく、継続中のキャンペーンの一部であることを示しています。
組織はProton66インフラストラクチャ、ngrokベースのトンネル、およびHunt.ioの分析とCyberXTronのプレイブックに記載されている特定のサービスとレジストリ操作パターンを監視することをお勧めします。
認証情報の迅速なローテーション、RDPの強化、リモートトンネリングツールの厳格な制御、およびバルクサービス停止動作の積極的な検出は、暗号化が始まる前に同様のツールキットを検出および中断するのに役立ちます。
侵害のインジケータ
| タイプ | 値 |
|---|---|
| IPアドレス | 176.120.22[.]127 |
| ポート | 80 (HTTP) |
| ホスティングプロバイダー | Proton66 OOO (AS198953) |
| 国 | ロシア |
| Ngrokトークン1 | 2gkRUQNkJyaGkvuDziSq1RGIrwl_4bGyJtv6ez2Hk8Hrd5zvq |
| Ngrokトークン2 | 2ozoAve91tpILCwKCbRDNz7us8e_2qLk1aLKZoV4Y6TfrcfjK |
翻訳元: https://gbhackers.com/thegentlemen-ransomware-toolkit/
