Μια νέα απειλή ransomware με το όνομα «The Gentlemen» εμφανίστηκε στο τοπίο της κυβερνοασφάλειας, επιδεικνύοντας προηγμένες δυνατότητες επίθεσης και ένα καλά δομημένο επιχειρησιακό μοντέλο.
Εμφανίστηκε για πρώτη φορά γύρω στον Ιούλιο του 2025, αυτή η ομάδα γρήγορα καθιερώθηκε ως σοβαρή απειλή, δημοσιεύοντας 48 θύματα στη σκοτεινή ιστοσελίδα διαρροής μεταξύ Σεπτεμβρίου και Οκτωβρίου 2025.
Το ransomware λειτουργεί ως πλατφόρμα Ransomware-as-a-Service, επιτρέποντας στους συνεργάτες να αναπτύσσουν επιθέσεις ενώ οι βασικοί χειριστές διατηρούν τον έλεγχο της υποδομής και των διαδικασιών διαπραγμάτευσης.
Το The Gentlemen χρησιμοποιεί μια στρατηγική διπλού εκβιασμού που συνδυάζει την κρυπτογράφηση αρχείων με την κλοπή δεδομένων. Αυτή η προσέγγιση όχι μόνο κλειδώνει τα θύματα έξω από τα συστήματά τους, αλλά δημιουργεί επίσης πρόσθετη πίεση απειλώντας να αποδεσμεύσει κλεμμένες πληροφορίες σε σκοτεινούς ιστοτόπους διαρροής, εκτός εάν ικανοποιηθούν οι απαιτήσεις για λύτρα.
.webp)
Πριν ξεκινήσουν τη δική τους πλατφόρμα RaaS, οι χειριστές πειραματίστηκαν με διάφορα μοντέλα συνεργατών από άλλες εξέχουσες ομάδες ransomware, κάτι που τους βοήθησε να βελτιώσουν τις μεθόδους τους και να αναπτύξουν μια πιο εξελιγμένη λειτουργία.
Ερευνητές ασφάλειας στον κυβερνοχώρο αναγνωρισθείς ότι το ransomware στοχεύει πλατφόρμες Windows, Linux και ESXi με εξειδικευμένα εργαλεία κρυπτογράφησης.
Το κακόβουλο λογισμικό χρησιμοποιεί αλγόριθμους κρυπτογράφησης XChaCha20 και Curve25519 για την ασφάλεια των αρχείων, καθιστώντας την ανάκτηση χωρίς το κλειδί αποκρυπτογράφησης εξαιρετικά δύσκολη.
Οι πρόσφατες ενημερώσεις εισήγαγαν τη λειτουργία αυτόματης επανεκκίνησης και εκτέλεσης κατά την εκκίνηση, ενισχύοντας την επιμονή σε παραβιασμένα συστήματα.
Δυνατότητες διάδοσης δικτύου και πλευρικής κίνησης
Το ransomware εξαπλώνεται σε δίκτυα χρησιμοποιώντας τα Windows Management Instrumentation και τις τεχνικές απομακρυσμένης PowerShell. Όταν εκτελείται, το κακόβουλο λογισμικό απαιτεί ένα όρισμα κωδικού πρόσβασης για να ξεκινήσει η ρουτίνα κρυπτογράφησης.
Υποστηρίζει πολλαπλούς τρόπους λειτουργίας, συμπεριλαμβανομένης της κρυπτογράφησης σε επίπεδο συστήματος βάσει των προνομίων SYSTEM και της κρυπτογράφησης κοινής χρήσης δικτύου μέσω αντιστοιχισμένων μονάδων δίσκου και μονοπατιών UNC.
Το κακόβουλο λογισμικό απενεργοποιεί το Windows Defender εκτελώντας εντολές PowerShell που απενεργοποιούν την προστασία σε πραγματικό χρόνο και προσθέτουν καταλόγους και διαδικασίες σε λίστες εξαιρέσεων.
.webp)
Επιτρέπει επίσης την ανακάλυψη δικτύου και τους κανόνες τείχους προστασίας, διευκολύνοντας την ευκολότερη πλευρική κίνηση στα εταιρικά δίκτυα.
Το ransomware στοχεύει κρίσιμες υπηρεσίες και διαδικασίες, συμπεριλαμβανομένων μηχανών βάσεων δεδομένων όπως MSSQL και MySQL, βοηθητικών προγραμμάτων δημιουργίας αντιγράφων ασφαλείας όπως το Veeam και υπηρεσιών εικονικοποίησης όπως το VMware.
Για να αποφύγει τον εντοπισμό και να περιπλέξει τις εγκληματολογικές έρευνες, το κακόβουλο λογισμικό διαγράφει αρχεία καταγραφής συμβάντων των Windows, αρχεία καταγραφής σύνδεσης RDP, αρχεία υποστήριξης του Windows Defender και δεδομένα Prefetch.
Αυτή η προσέγγιση κατά της εγκληματολογίας εμποδίζει σημαντικά τις προσπάθειες αντιμετώπισης περιστατικών και καθιστά την ανακατασκευή του χρονοδιαγράμματος πιο δύσκολη για τις ομάδες ασφαλείας που ερευνούν την επίθεση.
