「ジェントルメン」がランサムウェアの急速な台頭を遂げる

出典: David Morphew via Alamy Stock Photo

「ジェントルメン」として知られるランサムウェアギャングは、わずか数ヶ月間で数百の被害者を主張し、その名を確立しました。

ジェントルメンはランサムウェア・アズ・ア・サービス（RaaS）の組織で、2025年半ばに初めて現れました。暗号化とデータ漏洩の両方を恐喝のテコとして使用する、かなり典型的な二重恐喝攻撃を実行していますが、ジェントルメンは洗練された戦術、技術、手順（TTP）で知られており、アンチウイルスキラーなどの複雑な感染チェーンを特徴としています。

Check Point Researchは今週最新の調査結果を発表し、このギャングが数百の被害者を主張し、SystemBCと呼ばれるマルウェアを含むマルウェアを使用していることを指摘しました。研究者たちはこれを「人間が操作するランサムウェア運用で隠蔽されたトンネリングとペイロード配信に頻繁に活用されるプロキシマルウェア」と説明しました。

Check Pointは、SystemBCのコマンド・アンド・コントロール（C2）サーバに接続されている被害者テレメトリを観察し、1,570以上の被害者で構成されるボットネットを明らかにしました。研究者によると、感染プロフィールは「日和見的な消費者狙撃ではなく、企業および組織環境への焦点」を強く示唆しています。CPRの研究は主にこのインシデントを追跡しています。

このような新しいギャングにしては、ジェントルメンは驚くほど多くの成果を上げています。Comparitechの研究者たちによると、このグループは昨四半期に202件の攻撃を主張し、Qilinの353件の主張に次いで2番目でした。一方、NCC Groupが発見したところによると、ジェントルメンは1月に34件、2月に67件の攻撃を担当しました。第1位ではありませんが、Cl0pやAkiraなどの確立されたアクターと並んで追跡されています。

ジェントルメンにはドラゴンフォースの名残があります。ドラゴンフォースは2023年に登場したRaaSギャングで、カルテル設定とそのランサムウェア「ホワイトレーベリング」ビジネスモデルで素早く名を馳せました。

NCC Groupのサイバー脅威インテリジェンスアナリストであるDillon Ashmore氏は、Dark Readingに対し、ジェントルメンが「ランサムウェアエコシステムの主流として確立するための全ての兆候を示しており、DragonForceと同等だが、同じ段階でDragonForceが示したよりもはるかに大きな規模と洗練度で出現しており、」と述べています。

「DragonForceは150人以上の被害者を超えるのに約2年かかりました。それとは対照的に、ジェントルメンはその節目を9ヶ月で達成しました」とAshmore氏は述べています。「そのギャップは単なるペースと量の違いを示しているだけでなく、ランサムウェアグループの軌跡に対する典型的な混乱を経験することなく、高レベルの活動を維持するグループの能力を示しています。アフィリエイトの欠陥、インフラの押収、または内部紛争です。」

ジェントルメンの侵入方法

対象となった攻撃では、ジェントルメンのアフィリエイトは初期アクセスを得て（Check Pointは正確なベクトルを特定できませんでした）、その後、侵害されたホストにSystemBCプロキシマルウェアを配置しました。これはC2サーバへのSOCK5ネットワークトンネルを被害者環境内に展開し、追加のマルウェアペイロードをダウンロードして実行するための位置付けを行いました。

前述の攻撃で使用されたC2サーバは、1,500以上の被害者のボットネットを活用していますが、Check Pointはこれらの1,500人の被害者がアフィリエイト固有の被害者であるか、アフィリエイトが活用しているボットネットの一部であるかを言うことができませんでした。

確認された最初のアクティビティは、管理者権限を持つドメインコントローラー上の攻撃者の存在を示していました。彼らはこの足がかりを使用してアクセスを検証し、ネットワーク偵察を実施し、ラテラルムーブメントを促進するためのさまざまなペイロードを配置し、Windowsを無効にするためのPowerShellコマンドをドロップし、最終的にSystemBCとCobalt StrikeをC2として使用してランサムウェアをステージングしました。

ドメインコントローラー部分は、ジェントルメンがActive Directoryのグループポリシーインフラストラクチャを活用して「ドメイン内のすべてのコンピューターでランサムウェアを同時にデトネートする」能力が原因です。研究者たちはこれをバイナリーの最も強力で広がりのある展開方法と呼びました。

ジェントルメンランサムウェアはGOで書かれ、継続的な開発下にあります。ランサムウェア暗号化と流出に加えて、RDPやAnyDeskなどのメカニズムの他に、ランサムウェアはWindows Defenderの無効化、Windowsファイアウォール、Cドライブのスキャンと監視の無効化など、永続性を維持するための複数のコマンドを使用しました。

Check Pointの記事には、VMware ESXiホスト用に特別に設計されたジェントルメンランサムウェアのバリアントの技術分析も含まれています。このバリアントは「VirusTotal に見られるほとんどのアンチウイルスシステムで検出されないままです。」これは、ロッカーがすべてのESXi仮想マシンの制御されたシャットダウンを実行し、自動VM復旧を無効にするなど、特定のステージングアクションが原因である可能性があります。

ジェントルメンは大規模な組織を侵害する能力において概ね洗練されていますが、GuidePoint SecurityのセキュリティコンサルタントであるJason Baker氏は、継続的な力を持つランサムウェア組織のいくつかの特徴がジェントルメンが現在欠落していると述べています。

「ジェントルメンのアフィリエイトまたは交渉者は、専用のチャットサイドではなくqToxまたはSession アプリケーションで被害者とやり取りを続けており、Twitter / Xでの彼らの存在は、私たちが通常、不要なOPSECリスクとしてより成熟度の低いオペレーターに帰属させる行動の類です」と彼は言います。「Check Pointからの優れたレポートも、少なくともいくつかのケースでは、グループのアフィリエイトがCobalt Strikeを使い続けていることを示唆しており、これは過去1〜2年で検出メカニズムが広く利用可能になったため、大幅に無関係に消えていくのを見た攻撃的なセキュリティツールです。」

確立された特徴のいくつかを持っていますが、四半期ごとの継続的な成長など、Baker氏は、執行機関による混乱、内部紛争、または他のサイバー犯罪企業との外部紛争のため、急速な著名性の低下は常に可能であると付け加えています。

ジェントルメンの攻撃

死亡の可能性は別として、ジェントルメンについて最も懸念されるのは、この新しいエンティティが数ヶ月以内に数百の大規模組織を侵害する容量を立ち上げることに成功したということです。

「ジェントルメンRaaSを取り巻く活動は、よく設計されたアフィリエイトプログラムが新規参入者から高影響力のエコシステムプレーヤーにいかに迅速に進化できるかを強調しています」とCheck Pointのブログに記載されています。「多用途のマルチプラットフォームロッカーセット、組み込みのラテラルムーブメント、グループポリシーベースの大量展開、および強力な防御回避機能を組み合わせることで、この操作により、中程度のスキルのアフィリエイトでも、ランサムウェアデトネーションが最終段階としてエンタープライズレベルの侵入を実行することができます。」

Comparitechのデータリサーチの責任者であるRebecca Moody氏は、Dark Readingに対し、ジェントルメンは「今年目を付けるべき最大のグループの一つ」であると述べています。彼女は、グループの被害者学に基づいて、「政府機関、教育提供者、ヘルスケア会社、および世界的に製造業者への重要な脅威」であると述べています。

Check Point Software のプロダクト R&D グループマネージャー Eli Smadja 氏は、メールの中でジェントルメンが恐喝収益の90％をアフィリエイトに支払い、多くの人が他のRaaSプロバイダーに移動するインセンティブを与えていると述べています。「ジェントルメンはアフィリエイトにとってより魅力的なランサムウェアオプションの一つであり続けそうです」とSmadja氏は述べています。

防御者にとって、Smadja氏は、観察された攻撃の1つがインターネットに面したデバイスの悪用に続いてドメインコントローラーへの急速なアクセスを含んだことに注目しています。

「インターネットに面したアセットを密接に監視し、強力なネットワークセグメンテーションを適用することは、そのような攻撃を防止するための重要な対策です」と彼は述べています。「さらに、オペレーティングシステムとソフトウェアを最新に保つ、強力なセキュリティ意識プログラムを維持し、継続的なネットワーク監視を確保するなど、標準的なベストプラクティスは依然として重要です。」

Check Pointのブログ投稿には、侵害の指標も含まれています。