Το ransomware Gentlemen, που εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2025, έχει εξελιχθεί γρήγορα σε μια σημαντική απειλή που στοχεύει εταιρικά δίκτυα παγκοσμίως.
Λειτουργώντας σε ένα μοντέλο διπλού εκβιασμού, αυτή η ομάδα διεισδύει ευαίσθητα δεδομένα πριν τα κρυπτογραφήσει, διασφαλίζοντας ότι μπορούν να αξιοποιήσουν τις κλεμμένες πληροφορίες ακόμα και αν υπάρχουν αντίγραφα ασφαλείας.
Το ransomware έχει αναπτυχθεί στη γλώσσα προγραμματισμού Go, επιτρέποντας την αποτελεσματική εκτέλεση μεταξύ των πλατφορμών και την ισχυρή απόδοση σε ποικίλα εταιρικά περιβάλλοντα.
Η ομάδα χρησιμοποιεί προηγμένες τακτικές όπως ο χειρισμός αντικειμένων πολιτικής ομάδας (GPO) και τεχνικές Bring Your Own Vulnerable Driver (BYOVD) σε συστήματα παραβίασης.
Αυτές οι μέθοδοι τους επιτρέπουν να απενεργοποιούν τις άμυνες ασφαλείας και να διαδίδονται εσωτερικά στα δίκτυα.
Οι αναφορές δείχνουν ότι το ransomware έχει ήδη επηρεάσει οργανισμούς σε τουλάχιστον 17 χώρες, που καλύπτουν διάφορους κλάδους όπως η υγειονομική περίθαλψη, η κατασκευή και οι ασφάλειες.
αναλυτές της ASEC διάσημος ότι το Gentlemen έχει γίνει μια από τις πιο ενεργές αναδυόμενες ομάδες ransomware το 2025 λόγω των εξελιγμένων διαδικασιών διάδοσης.
Η ομάδα φαίνεται να στοχεύει συγκεκριμένα μεσαίους έως μεγάλους οργανισμούς, χρησιμοποιώντας τεχνικές αποφυγής εντοπισμού για να παρακάμψει την τυπική παρακολούθηση ασφαλείας.
.webp.jpeg "Νέοι κύριοι Ransomware παραβιάζουν εταιρικά δίκτυα για εξαγωγή και κρυπτογράφηση ευαίσθητων δεδομένων")
Η ταχεία επέκτασή του σε περιοχές όπως η Βόρεια Αμερική, η Νότια Αμερική και η Μέση Ανατολή υπογραμμίζει την επείγουσα ανάγκη για συνεχή παρακολούθηση.
Πρωτόκολλα εκτέλεσης και κρυπτογράφησης
Κατά την εκτέλεση, το κακόβουλο λογισμικό ξεκινά μια αυστηρή ρουτίνα ανάλυσης ορίσματος γραμμής εντολών που έχει σχεδιαστεί για να ελέγχει αυστηρά τη συμπεριφορά του.
Ένα κρίσιμο χαρακτηριστικό είναι η απαίτηση ενός συγκεκριμένου ορίσματος –password. χωρίς αυτό το έγκυρο διαπιστευτήριο, το ransomware τερματίζεται αμέσως.
Αυτή η απλή αλλά αποτελεσματική τεχνική αντι-ανάλυσης εμποδίζει τους ερευνητές ασφαλείας να εκτελέσουν το ωφέλιμο φορτίο σε περιβάλλοντα sandbox.
Οι χειριστές μπορούν να καθορίσουν διάφορες λειτουργίες, όπως –silent για αποφυγή μετονομασίας αρχείων ή –full για στόχευση τόσο των τοπικών όσο και των κοινών χρήσεων δικτύου.
Πριν ξεκινήσει η κρυπτογράφηση, το κακόβουλο λογισμικό απενεργοποιεί το Windows Defender και τερματίζει τις υπηρεσίες δημιουργίας αντιγράφων ασφαλείας και βάσης δεδομένων, συμπεριλαμβανομένων των Veeam, MSSQL και MongoDB.
.webp.jpeg "Νέοι κύριοι Ransomware παραβιάζουν εταιρικά δίκτυα για εξαγωγή και κρυπτογράφηση ευαίσθητων δεδομένων")
Αυτό διασφαλίζει ότι τα αρχεία δεν κλειδώνονται από άλλες διαδικασίες και εμποδίζει τις προσπάθειες ανάκτησης. Τα εκτελέσιμα ορίσματα Gentlemen τονίζουν αυτές τις εκτεταμένες επιλογές εντολών.
Η φάση κρυπτογράφησης χρησιμοποιεί το X25519 για την ανταλλαγή κλειδιών και το XChaCha20 για την κρυπτογράφηση αρχείων, δημιουργώντας μοναδικά κλειδιά για κάθε αρχείο.
Το δημόσιο κλειδί του δράστη απειλής αποκωδικοποιείται απευθείας στη μνήμη για τη δημιουργία κοινών μυστικών.
.webp.jpeg "Νέοι κύριοι Ransomware παραβιάζουν εταιρικά δίκτυα για εξαγωγή και κρυπτογράφηση ευαίσθητων δεδομένων")
Για μεγαλύτερα αρχεία, κρυπτογραφεί επιλεκτικά τμήματα με βάση καθορισμένα ποσοστά – όπως 9% για -γρήγορο ή 1% για -υπερταχύτητα- για να βελτιστοποιήσει την ταχύτητα ενώ τα δεδομένα δεν μπορούν να ανακτηθούν.
Υπολογισμός του εύρους της κρυπτογράφησης. Τέλος, δημιουργείται ένα σημείωμα λύτρων με το όνομα README-GENTLEMEN.txt σε όλους τους επεξεργασμένους καταλόγους.
