Gentlemen身代金要求型ソフトウェア(RaaS)オペレーションは、高度に特殊化されたC言語ベースのVMware ESXiロッカーを多様なマルウェアアーセナルに追加することで、エンタープライズ攻撃をエスカレートさせています。
最近のインシデント対応データによると、この急速に成長しているグループの関連者は、SystemBCプロキシマルウェアを活用して、1,570以上の侵害された企業環境の大規模なボットネットを管理しています。
Gentlemen RaaSは当初2025年半ばにWindows、Linux、BSD、およびNASシステム向けのGo言語ベースの暗号化ツールを使用してトラクションを得ていましたが、グループは最近、ESXiサーバ専用の目的に応じたC言語ベースのペイロードを導入しました。
このハイパーバイザー焦点型バリアントは、速度と信頼性のために設計されており、暗号化が始まる前にファイルロックを解放するために仮想マシンを意図的にシャットダウンします。
ロッカーは最初にESXiコマンドラインツールを使用してグレースフルパワーオフを試みており、仮想マシンが活動中の場合は強制終了にエスカレートします。
暗号化スループットを最大化するために、マルウェアはVMFSライトバッファ容量を増加させ、フラッシュ間隔を短縮することでホストのストレージレイヤーを変更し、より高速なディスクコミットを強制します。
ランサムウェアは、データストア全体で書き込みを同期するために、戦略的にイーガーゼロ化されたシックディスクを作成・削除します。暗号化フェーズ中、ペイロードは、ファイル暗号化用のXChaCha20とキー導出用のX25519を組み合わせたハイブリッド暗号化スキームを使用します。
オペレーターはESXiロッカーをプログラムして重要なブートおよびシステムディレクトリを除外し、基礎となるホストが身代金要求ノートを表示するのに十分な動作状態を保つようにしました。
ランサムウェアはオペレーターに、大きなファイルのほんの一部のみを暗号化できるようにするオプションの速度設定を提供しています。関連者は「高速」モードで9パーセント、「超高速」モードで3パーセント、「ウルトラ高速」モードで1パーセントロックすることを選択できます。
この断続的な暗号化は、攻撃者の一意の復号化キーなしでデータを完全に回復不可能にしながら、大規模な仮想ディスクファイルをロックするために必要な時間を大幅に削減します。
エンクリプター自体を超えて、Gentlemen攻撃をサポートするインフラストラクチャは大幅に成熟しました。セキュリティ研究者は最近、被害者環境内で秘密のSOCKS5ネットワークトンネルを確立するために、プロキシマルウェアであるSystemBCを利用する関連者を発見しました。
関連するコマンド・アンド・コントロール・サーバーは、主に米国、英国、およびドイツに位置する1,570以上の感染ホストのグローバルボットネットを明らかにしました。
この広範なフットプリントは、関連者が日和見攻撃を実施するのではなく、Gentlemenペイロードを高度な人間が操作する侵入ワークフローに統合していることを示しています。
checkpointの最終暗号化前のラテラルムーブメントを促進するために、ランサムウェアは組み込まれた拡散メカニズムを含んでいます。
オペレーターが収穫したドメイン認証情報を提供する場合、マルウェアは到達可能なホストを自動的に列挙します。WMI、PsExec、スケジュール済みタスク、およびリモートサービスを含む並列実行チャネルを通じてペイロードを展開します。
さらに、ランサムウェアはVeeamとWindows Shadow Copiesを含む広範なエンタープライズバックアップおよび復旧サービスをターゲットにして終了し、データ復旧の可能性を排除します。
翻訳元: https://cyberpress.org/gentlemen-adds-esxi-locker/
