Gentlemen Ransomware: технический разбор архитектуры, тактик и артефактов

Ransomware-группировка Gentlemen представляет собой современную RaaS-платформу, ориентированную на целевые атаки против корпоративных инфраструктур. По совокупности применяемых техник Gentlemen ближе не к «массовым» шифровальщикам, а к организованным криминальным группам, использующим APT-подобные методики. Основной акцент сделан на длительное присутствие в сети, тщательную разведку, кражу данных и только затем — на шифрование.

1. Общая цепочка атаки (Kill Chain)

Типовая цепочка компрометации в атаках Gentlemen выглядит следующим образом:

Initial Access
Foothold и закрепление
Internal Reconnaissance
Credential Access
Lateral Movement
Data Exfiltration
Defense Evasion
Mass Deployment
Encryption & Extortion

В отличие от классических ransomware-семейств, здесь этапы 3–6 могут занимать от нескольких дней до недель, что говорит о ручном управлении операцией.

2. Первичный доступ (Initial Access)

2.1 Эксплуатация внешних сервисов

Наиболее частые точки входа:

VPN-шлюзы (FortiGate, SonicWall, Palo Alto) с устаревшими прошивками;
RDP-доступы с слабыми или повторно используемыми паролями;
веб-панели администрирования (Exchange, Veeam, ESXi management).

Зачастую используется уже готовый доступ, приобретённый у initial access brokers. Это подтверждается тем, что злоумышленники сразу действуют с привилегированными учётными записями.

2.2 Living-off-the-Land

После входа активно применяются стандартные средства Windows:

cmd.exe
powershell.exe
wmic.exe
net.exe
nltest.exe
quser.exe

Это позволяет минимизировать загрузку подозрительных бинарей на раннем этапе.

3. Закрепление (Persistence)

Gentlemen использует несколько механизмов закрепления, часто в комбинации:

3.1 Планировщик заданий

Создание задач через:

schtasks /create

Задачи маскируются под легитимные:

обновления ПО;
телеметрия;
сервисные проверки.

3.2 Реестр Windows

Типичные ключи:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

В качестве значений могут использоваться:

PowerShell-команды;
загрузка DLL через rundll32;
запуск бинаря из %ProgramData%.

3.3 Службы

Создание собственных сервисов с нейтральными именами, часто копирующими системные (UpdateManager, WinHostSvc).

4. Разведка внутри сети (Reconnaissance)

На этом этапе Gentlemen активно собирает информацию:

4.1 Система и домен

systeminfo
whoami /all
nltest /dclist
net group "Domain Admins" /domain

4.2 Сеть

arp -a
route print
ipconfig /all
встроенные PowerShell-скрипты для сканирования подсетей.

4.3 Защитные средства

наличие EDR/AV;
версии Defender;
активные службы резервного копирования.

Результаты разведки используются для точечного отключения защит перед финальной фазой.

5. Получение учётных данных (Credential Access)

Используемые методы:

выгрузка LSASS (через MiniDump или сторонние утилиты);
чтение SAM/SECURITY hive;
использование уже присутствующих паролей в GPO и скриптах.

Часто не применяется Mimikatz напрямую — вместо этого используются кастомные инструменты или встроенные функции ОС.

6. Латеральное перемещение (Lateral Movement)

Основные техники:

PsExec
WMI
PowerShell Remoting
SMB-копирование + удалённый запуск

Перемещение выполняется выборочно — приоритет отдается:

файловым серверам;
серверам резервного копирования;
контроллерам домена;
виртуальной инфраструктуре.

7. Экcфильтрация данных

Ключевая особенность Gentlemen — обязательная кража данных до шифрования.

7.1 Типы данных

бухгалтерия;
договоры;
базы клиентов;
резервные копии;
почтовые архивы.

7.2 Каналы вывода

HTTPS-соединения на арендованные VPS;
SFTP;
облачные хранилища;
временные прокси-узлы.

Данные архивируются, часто с использованием стандартных архиваторов, чтобы не привлекать внимание.

8. Уклонение от защиты (Defense Evasion)

8.1 Отключение защит

добавление исключений в Defender;
остановка сервисов EDR;
удаление или блокировка агентов.

8.2 Уязвимые драйверы

Зафиксированы случаи использования подписанных, но уязвимых драйверов для:

отключения защитных процессов;
манипуляций с памятью.

8.3 Очистка следов

удаление Event Logs;
удаление PowerShell history;
очистка временных каталогов.

9. Развёртывание шифровальщика

Шифровальщик запускается централизованно, часто:

через GPO;
через массовый PsExec;
через скрипты входа в домен.

Перед шифрованием:

останавливаются службы БД;
завершаются пользовательские процессы;
удаляются теневые копии.

10. Механизм шифрования

10.1 Криптография

симметричное шифрование на уровне файлов;
асимметричная защита ключей;
уникальные ключи для каждого файла.

10.2 Поведение

пропуск системных файлов;
шифрование сетевых ресурсов;
расширения файлов генерируются случайно.

11. Артефакты в системе

11.1 Файловые

ransom note (README-*.txt);
временные бинарные файлы;
архивы с украденными данными.

11.2 Реестр

ключи автозапуска;
следы отключения Defender;
следы служб.

11.3 Сеть

нестандартные исходящие HTTPS-соединения;
повторяющиеся beacon-паттерны;
обращения к новым доменам.

12. Отличия от LockBit и Conti

Gentlemen выделяется:

более долгим пребыванием в сети;
обязательной фазой эксфильтрации;
меньшей автоматизацией и большей ручной работой;
акцентом на инфраструктуру, а не конечные ПК.

Это делает атаки менее шумными, но более разрушительными.

13. Вывод

Gentlemen — это не просто очередной шифровальщик, а полноценный комплекс для компрометации корпоративных сетей. Его архитектура, тактики и поведение указывают на высокий уровень подготовки операторов и ориентацию на максимальный ущерб за счёт комбинации кражи данных и шифрования. Для защиты от подобных угроз требуются не только антивирусы, но и зрелые процессы мониторинга, сегментации сети и реагирования на инциденты.