The Gentlemen RaaS elemzése
A Microsoft részletes technikai elemzést tett közzé a The Gentlemen nevű ransomware-ről, amelyet a Storm-2697 néven követett. A csoport 2025 közepén jelent meg, majd 2025 szeptemberétől affiliate-programot indított, 2026-ban pedig a BreachForums fórumon kezdett aktívan partnereket, köztük initial access brokereket és pentestereket toborozni.
A The Gentlemen legfontosabb sajátossága nem maga a titkosítás, hanem az önterjedő működés. A ransomware Go nyelven íródott, és egyszerre több laterális mozgási technikát indít minden elérhető célrendszer ellen. Ahelyett, hogy egyetlen terjedési módszerre támaszkodna, párhuzamosan használ SMB-admin megosztásokat, PsExec-et, WMIC-et, WMI-alapú PowerShell végrehajtást, WinRM-et, ütemezett feladatokat és szolgáltatásalapú távoli futtatást. Ez jelentősen növeli annak esélyét, hogy egyetlen kompromittált végpontról rövid idő alatt teljes hálózati kompromittálás következzen be.
A titkosítási mechanizmus fejlett kriptográfiát alkalmaz. Minden fájlhoz egyedi, ideiglenes Curve25519 kulcspár generálódik, amelyből ECDH segítségével származtatják az XChaCha20 titkosítókulcsot. Az egyedi fájlszintű kulcsgenerálás miatt a részleges visszafejtés vagy kulcs-visszanyerés rendkívül nehéz, gyakorlatilag a támadók privát kulcsának megszerzését igényli.
A műveletek során a csoport kettős fenyegetési modellt alkalmaz, az adatok titkosítása előtt adatokat lop, majd a helyreállítás mellett az adatok nyilvánosságra hozatalával is zsarolja az áldozatokat. A Microsoft szerint a célpontok között egészségügyi, pénzügyi, oktatási és közlekedési szervezetek találhatók Észak-Amerikában, Európában, Ázsiában és Afrikában.
A korábbi incidensek és a kiszivárgott belső kommunikáció alapján az affiliate-ek rendszeresen alkalmaznak PowerShell-alapú védelemkijátszást, Microsoft Defender-kikapcsolási kísérleteket, antivirus szabály kivételek létrehozását, eseménynaplók törlését, valamint GPO-manipulációt a tömeges terjesztés érdekében. Egyes kampányokban SystemBC proxy-malware és AnyDesk-alapú perzisztencia is megjelent.
A Microsoft értékelése szerint a The Gentlemen jelenleg az egyik leggyorsabban növekvő RaaS-platform, amelynek legveszélyesebb jellemzője a titkosítás és az automatizált laterális mozgás szoros integrációja, ami jelentősen lerövidíti a kompromittálás és a teljes hálózati titkosítás közötti időablakot.
