Gentlemanは急速に成長するランサムウェア・アズ・ア・サービス(RaaS)運営組織で、ハイパーバイザー環境用にC言語で作成された新しいロッカーを使用してWindows、Linux、NAS、BSD、VMware ESXiを標的にしています。
マルチプラットフォーム対応の設計と強力な防御回避機能により、世界中の企業ネットワークに対して高い影響度の脅威をもたらします。
Gentlemen RaaSは2025年半ばに登場し、アンダーグラウンドフォーラムで広告を掲載し、「ペネトレーションテスター」や熟練した攻撃者に強力なツール機能を約束することで、アフィリエイトエコシステムを急速に構築しました。
オペレーターはWindows、Linux、NAS、BSDに対してGoで実装されたクロスプラットフォームロッカーと、ESXi用の追加のC言語ベースのロッカーを供給しており、企業データセンターに典型的なサーバーとハイパーバイザーの混合に対応しています。
グループは被害者が身代金支払いを拒否した場合に盗まれたデータを公開するTorリークサイトを運営しており、暗号化と公開による恥さらしを組み合わせた二重脅迫モデルを実現しています。
テレメトリーとリークサイトの主張は320を超える被害者を示しており、ほとんどの攻撃は2026年初期に発生しており、RaaSプログラムがアフィリエイトを急速に惹きつけていることを示しています。
Check Pointのインシデント対応データは、Gentlemanアフィリエイトを1,570台以上の侵害されたホストのSystemBC搭載ボットネットに結びつけており、これらはホームユーザーではなく主に企業および組織のシステムです。
記録されたエンタープライズ侵入の事例では、Gentlemanアフィリエイトがまずドメイン管理者アクセスを取得し、その立場を利用してネットワーク全体に展開しました。
ADMIN$共有経由でCobalt Strikeビーコンを展開し、whoamiやsysteminfoなどの検出コマンドを実行し、内部ドキュメントにアクセスして環境を把握してからランサムウェアを起動しました。
アフィリエイトはSystemBC(socks.exeとして)をインストールしてステルスSOCKS5トンネルを構築し、追加のペイロードをステージしようとしましたが、エンドポイント保護がこの試みをブロックしました。
制御を維持するために、攻撃者はリモートデスクトップを有効にし、ハードコードされたパスワード付きのAnyDeskをインストールし、Mimikatzなどのツールを使用してメモリから認証情報を収集しました。
暗号化の準備ができると、内部サーバーからGentlemanペイロードをステージし、PowerShell、スケジュールされたタスク、グループポリシーを使用してエンドポイント全体にプッシュし、ドメイン参加システムのほぼすべてで同時暗号化を実現しました。
オペレーターは–systemオプション(ローカルドライブ用)、–sharesオプション(ネットワークパス用)、–spreadオプション(盗まれたドメイン認証情報を使用した自動ラテラルムーブメント用)、–gpoオプション(グループポリシーをドメイン全体デプロイメント用に武装化)などを使用して動作を細かく調整できます。
検出回避のため、マルウェアはMicrosoft Defenderのリアルタイム保護をオフにするPowerShellコマンドを発行し、自身のプロセスとC:ドライブ全体の両方をDefenderの除外リストに追加します。
その後、仮想化、データベース、バックアップソフトウェア、セキュリティツール、生産性アプリケーションに関連するプロセスとサービスの広い範囲を強制終了し、重要なデータが暗号化され、復旧ツールが無効になる可能性を最大化します。
暗号化自体はX25519キー交換とXChaCha20に依存しており、大きなファイルの9%、3%、または1%のみに接触する「Fast」、「Superfast」、「Ultrafast」モードを備えており、それでも使用不可にします。
ESXi焦点のCロッカー
仮想化環境への影響を拡張するために、Gentlemanはすべての運営に専用のESXiロッカーを含めており、C言語でELFバイナリとしてコンパイルされ、VMwareハイパーバイザーに最適化されています。
コアのGentlemanロッカーはGoで記述されており、コマンドライン引数で完全に制御され、バイナリ内のハードコード値と一致する必須の–passwordフラグがあります。
このバリアントはWindowsビルドより少数のフラグを公開していますが、同じパスワード保護アクセスと部分的暗号化速度モードを保持しており、仮想ディスクファイルが存在するvmfs、datastore、mnt/storageなどのディレクトリを標的にしています。
暗号化前に、ESXiロッカーはすべてのVMを列挙し、各VMのグレースフルシャットダウンを試み、その後残りのVMプロセスを強制終了して、仮想ディスクファイルが完全にロック解除され、暗号化が容易になるようにします。
bin/vmware-authdとしての自身をコピーして永続化し、/etc/rc.local.dにブート時スクリプトを作成し、reboot後の再起動のためにcronエントリを追加します。すべての間、VMFS書き込みバッファをチューニングしてディスク操作を加速化します。
慎重に選択された除外はコアESXiシステムファイルとブートコンポーネントを回避し、ハイパーバイザーが被害者が身代金メモを見て支払う可能性がある程度まで操作可能な状態を保つことを保証します。
Gentlemanの成功は、成熟した繰り返し可能な作戦に基づいており、ドメインレベルの侵害、ツール駆動のラテラルムーブメント、EDRおよびDefender抑制、および物理インフラと仮想インフラの両方に到達するマルチプラットフォームロッカーが含まれています。
組織はドメインコントローラーを強化し、GPOの変更を制限し、Cobalt StrikeやAnyDeskなどのツールを監視し、アフィリエイトがフットホールドを得た場合に影響範囲を減らすために、管理ネットワーク、ハイパーバイザー、ユーザー環境間の強力なセグメンテーションを実装する必要があります。
翻訳元: https://gbhackers.com/gentlemen-raas-hits-windows/
