The Gentlemen – ransomware działający w modelu RaaS dostosowujący się do środowiska celu

Microsoft Threat Intelligence przeprowadził analizę odświeżonego wariantu ransomware The Gentlemen. Malware charakteryzuje się wysoce rozwiniętym mechanizmem self-propagation, czyli zdolnością do rozprzestrzeniania się w sieci. Ponadto, zaimplementowano w nim silne mechanizmy kryptograficzne oraz techniki zabezpieczające przed inżynierią wsteczną, co znacząco utrudnia analizę. 

TLDR:

• Badacze z Microsoft Threat Intelligence przeprowadzili szczegółową analizę wariantu ransomware The Gentlemen.
• Za oprogramowaniem stoi grupa Storm-2697, oferująca narzędzie w modelu ransomware-as-a-service (RaaS).
• To co je wyróżnia to możliwość dostosowania się do środowiska celu oraz zaawansowane metody rozprzestrzeniania w sieci (self-propagation).
• Aby ukryć złośliwą aktywność, malware wyłącza procesy odpowiedzialne za monitorowanie systemu oraz usuwa logi systemowe.
• W celu zabezpieczenia danych cyberprzestępcy wykorzystali silne mechanizmy kryptograficzne: kryptografię krzywych eliptycznych (Curve25519) oraz algorytm symetryczny XChaCha20.
• Wzorem innych współczesnych grup atakujący stosują taktykę podwójnego wymuszenia (double extortion) – oprócz okupu za odszyfrowanie danych, użytkownik musi zapłacić za ich nieupublicznienie.

Badacze z Microsoftu powiązali kampanię z grupą Storm-2697 działającą w modelu RaaS (ransomware-as-a-service). Grupa ta jest aktywna od połowy 2025 r. Jej narzędzia są obecnie wykorzystywane w masowych atakach na wiele różnych branż na całym świecie. Zgodnie z obserwacją analityków, oferowane przez nich oprogramowanie nigdy nie było używane przeciwko celom zlokalizowanym w Rosji.

Jak dochodzi do infekcji?

Biorąc pod uwagę fakt, że cyberprzestępcy oferują malware w modelu RaaS, trudno jest ustalić szczegółowy wektor ataku. Ta sama kampania ransomware może rozpocząć się od niezałatanej podatności w urządzeniu sieciowym, skradzionych poświadczeń bezpieczeństwa lub zaawansowanego phishingu omijającego uwierzytelnianie wieloskładnikowe (MFA). Dopiero po uzyskaniu dostępu do środowiska celu oraz wstępnym rozpoznaniu infrastruktury, atakujący pobierają właściwy ładunek – ransomware The Gentlemen.

Ransomware The Gentlemen

To co go wyróżnia, to rozbudowany interfejs wiersza poleceń (CLI), który na pierwszy rzut oka przypomina profesjonalne narzędzie administracyjne. Twórcy zrezygnowali z uniwersalnego kodu bez opcji modyfikacji. Zamiast tego zaproponowali w pełni konfigurowalny wariant z możliwością dostosowania mechanizmów szyfrowania i propagacji do konkretnej maszyny lub topologii atakowanej sieci “w locie”. 

Zanim malware rozpocznie pracę, operator musi podać odpowiednie hasło startowe. W przypadku analizowanej próbki, sekret był statycznie przechowywany w kodzie aplikacji i wyglądał następująco: 9VoAvR7G. Wprowadzenie błędnego hasła skutkuje natychmiastowym przerwaniem działania programu i wyrzuceniem komunikatu bad args.

Tego typu mechanizm ma w teorii chronić przed przypadkowym uruchomieniem, np. w środowisku testowym analityków (sandbox). W praktyce nie stanowi to jednak wyzwania. Badacze w ciągu kilku chwil są w stanie wyciągnąć z binarki “tajne hasło” (zwłaszcza że jest ono przechowywane w postaci jawnej). Co więcej, odpowiednio modyfikując przepływ sterowania programem, da się ominąć etap uwierzytelnienia.

Oprogramowanie wyposażono w szeroki zestaw flag sterujących trybem pracy (–system, –shares, –full, –spread) oraz prędkością działania (–fast, –superfast, –ultrafast). W zależności od konfiguracji malware będzie szyfrował pliki na dysku lokalnym, udostępnione zasoby sieciowe lub utworzy dwa równoległe procesy potomne, które zajmą się obiema lokalizacjami równocześnie.

Developerzy zaimplementowali również moduł odpowiadający za propagację złośliwego oprogramowania na inne maszyny dostępne w sieci (lateral movement). W tym celu malware wykorzystuje skradzione poświadczenie użytkowników domeny. 

Osobna kwestia dotyczy prędkości działania. Dokumenty zajmujące do 1 MB są szyfrowane w całości. Natomiast w przypadku większych plików, operator może zdefiniować jaka część danych ma zostać zaszyfrowana. Im mniejszy procent zawartości ulegnie zmodyfikowaniu (jak w trybie –ultrafast), tym szybciej ransomware sparaliżuje system. Warto jednak pamiętać, że pozostawienie około 99% zawartości plików w nienaruszonym stanie może zwiększyć szanse użytkownika na odzyskanie kluczowych danych.

Malware może działać z uprawnieniami aktualnie zalogowanego użytkownika lub utworzyć zaplanowane zadanie (scheduled task), aby uruchomić się ponownie z uprawnieniami SYSTEM. Modyfikacja harmonogramu zadań jest możliwa tylko wtedy, gdy pierwotny proces wystartował z konta lokalnego administratora.

Aby zapewnić stabilne działanie oraz utrudnić proces analizy powłamaniowej, zaimplementowano szereg funkcji mających na celu wyłączenie systemowych mechanizmów kontroli bezpieczeństwa. Malware, korzystając z poleceń PowerShell wyłącza funkcję monitorowania w czasie rzeczywistym dostępną w oprogramowaniu Windows Defender. Następnie dodaje swój własny plik wykonywalny oraz cały katalog C:\ do listy wykluczeń.

Ponadto, usuwa wszystkie Volume Shadow Copies korzystając z narzędzi vssadmin oraz wmic. Za pomocą polecenie wevtutil czyści dzienniki zdarzeń systemowych, aplikacji oraz bezpieczeństwa. W ostatnim kroku kasuje historię komend PowerShell dla wszystkich profili użytkowników.

W celu zapewnienia persystencji, wykorzystano harmonogram zadań oraz rejestr systemowy.

Malware dokonuje wpisów w Harmonogramie zadań, które uruchamiają się automatycznie przy starcie systemu. Zadanie UpdateSystem, jak sama nazwa wskazuje uruchomi się w kontekście SYSTEM, natomiast UpdateUser z uprawnieniami aktualnie zalogowanego użytkownika.

Analogiczna sytuacja występuje w przypadku użycia systemowego rejestru.

To co jest godne uwagi to sposób szyfrowania danych. Malware stosuje hybrydowy kryptosystem złożony z kryptografii krzywych eliptycznych (krzywa Curve25519) oraz szyfru strumieniowego (XChaCha20), co pozwala osiągnąć wysoką efektywność oraz zabezpieczyć plik unikalnym kluczem szyfrującym.

Dla każdego pliku oprogramowanie realizuje następującą sekwencję operacji:

• Generuje unikalną, efemeryczną (tymczasową) parę kluczy Curve25519, składającą się z losowego klucza prywatnego oraz odpowiadającego mu klucza publicznego.
• Wylicza współdzielony sekret (korzystając z protokołu ECDH – Diffiego-Hellmana na krzywych eliptycznych) na podstawie klucza publicznego operatora zaszytego w kodzie oraz uprzednio wygenerowanego tymczasowego klucza prywatnego.
• Wykorzystuje obliczony sekret jako klucz dla algorytmu strumieniowego XChaCha20. Co ciekawe, jako parametr nonce (liczba jednorazowa) przyjmowane są pierwsze 24 bajty efemerycznego klucza publicznego.
• Szyfruje zawartość pliku, a na jego końcu (w stopce) dopisuje zakodowany w Base64 efemeryczny klucz publiczny.

Po zakończeniu działania oprogramowanie zostawia klasyczną notatkę z żądaniem okupu. Twórcy The Gentlemen wzorem innych współczesnych grup stosują taktykę podwójnego wymuszenia (double extortion). Użytkownik musi zapłacić nie tylko za odzyskanie danych, ale również za nieupublicznienie wykradzionych informacji.

Jeżeli oprogramowanie zostanie uruchomione bez flagi –silent, malware automatycznie zmieni tapetę na pulpicie użytkownika.

Oprogramowanie The Gentlemen stanowi wysoce skuteczne narzędzie dostosowujące się funkcjonalnie do infrastruktury celu. Biorąc pod uwagę, że jest dostępne w modelu RaaS oraz cieszy się popularnością na forach dla cyberprzestępców, w najbliższym czasie można się spodziewać wzrostu aktywności tego typu zagrożenia. W związku z tym zaleca się podjęcie działań związanych z monitorowaniem aktywności w Harmonogramie Zadań oraz reagowanie na nietypowe wpisy w systemowym rejestrze.

Źródło: microsoft.com  

~_secmike