急速に拡大しているランサムウェア・アズ・ア・サービス(RaaS)の運営組織が320人以上の被害者を主張しており、攻撃の大部分は2026年初頭に発生しています。
Check Pointの研究者によると、ジェントルメンとして知られるこのグループは、アフィリエイト間で注目を集めており、モジュール式ツーリングとクロスプラットフォームペイロードの組み合わせを使用して、エンタープライズ環境をますます標的にしています。
2025年半ばに最初に特定されたこの運営は、地下フォーラムでサービスを宣伝し、技術的に熟練したパートナーを採用しています。
アフィリエイトは、Windows、Linux、NAS、BSDシステムをサポートするGo言語で書かれたランサムウェアのバリアント、およびCで開発された別のESXi暗号化ツールが提供されます。
マルチプラットフォームツーリングがエンタープライズへの影響を推進
ランサムウェアツールキットには、大規模な侵入を合理化するために設計された機能が含まれています。アフィリエイトは、組み込みの横方向の移動機能、認証情報の再利用、およびグループポリシーベースの展開を活用して、ドメイン環境全体で同時の暗号化をトリガーできます。
観測された1つのケースでは、攻撃者は複数のシステムにペイロードを展開する前にドメインコントローラーアクセスを達成しました。活動には、認証情報の収集、管理共有による遠隔実行、および広範な偵察が含まれていました。
攻撃者はまた、エンドポイント保護を無効化し、スケジュール済みタスク、サービス、およびレジストリの変更を使用して永続性を維持しました。
攻撃で観測された主要な機能は次の通りです:
-
エンドポイント、サーバー、および仮想化された環境をカバーするクロスプラットフォーム暗号化
-
盗まれたドメイン認証情報を使用した自動的な横方向の移動
-
迅速なドメイン全体の実行のためのグループポリシー展開
-
アンチウイルスとファイアウォール保護を無効化することによる防御回避
ランサムウェア運営の詳細情報をご覧ください:ハイテク部門がサイバー攻撃の主要ターゲットとして金融部門に取って代わる、Mandiant Reports
ランサムウェアはまた、影響を最大化するためにデータベース、バックアップツール、および仮想マシンにリンクされたプロセスを終了し、回復とフォレンジック分析を妨げるためにシャドウコピーとログを削除します。
SystemBC使用は、より広い侵入エコシステムを示唆
インシデント対応中に、Check Pointの研究者はSystemBC(人間が操作するランサムウェアキャンペーンに一般的に関連付けられているプロキシマルウェア)の使用を特定しました。このツールは、SOCKS5トンネルを介した秘密の通信を可能にし、追加のペイロードをメモリに直接配信できます。
関連するコマンド・アンド・コントロール(C2)サーバーからのテレメトリは、世界中で1570以上の感染したシステムを明らかにしました。米国、英国、ドイツに大きく集中している分布は、日和見的な消費者感染ではなく、組織ターゲットへのフォーカスを示唆しています。
Check Point研究者は、SystemBCがジェントルメンエコシステムに完全に統合されているのか、単に特定のアフィリエイトによって使用されているのか、それが明確ではないままであることに注目しました。しかし、Cobalt Strikeなどのツールと一緒に存在することは、モジュール式の攻撃チェーンを示唆しています。
侵入はまた、適応性を示しました。SystemBCの展開がブロックされたとき、攻撃者は代替のC2チャネルにシフトし、リモートデスクトップとリモートアクセスソフトウェアを使用して永続性を確立しました。
CPRは、スケーラブルなアフィリエイト採用、エンタープライズ重視のツーリング、および確立された搾取後フレームワークとの統合の組み合わせが、脅威レベルを増加させることを強調しました。
翻訳元: https://www.infosecurity-magazine.com/news/gentlemen-ransomware-rapid/
