The Gentlemen Backdoor
A Kaspersky elemzése szerint a The Gentlemen az egyik leggyorsabban fejlődő Ransomware-as-a-Service platform, amely 2025 vége óta több mint 70 áldozatot követelt világszerte. A csoport a fájlok titkosítása előtt érzékeny adatokat is ellop, majd azok kiszivárogtatásával fenyegeti az áldozatokat. A támadók kezdeti hozzáférést jellemzően ellopott hitelesítő adatokkal, VPN/RDP hozzáférésekkel, illetve Initial Access Brokerektől (IAB) vásárolt hozzáférésekkel szereznek, ezt követően nyílt forráskódú eszközökkel – például Mimikatz, AnyDesk, PsExec, Advanced IP Scanner és Rclone – végzik a felderítést, az oldalirányú mozgást és az adatok kiszivárogtatását. A titkosítást egy Rust nyelven írt ransomware végzi, amely részleges titkosítást alkalmaz a művelet felgyorsítása érdekében, miközben leállítja a biztonsági mentési és adatbázis-szolgáltatásokat is.
A Kaspersky szerint a The Gentlemen egyik legfontosabb új fejlesztése egy saját készítésű Gentleman Backdoor, amelyet a ransomware telepítése előtt használnak fel a kompromittált környezet felderítésére és a tartós hozzáférés biztosítására. A malware elsődleges feladata a rendszerinformációk összegyűjtése (felhasználók, gépnév, domain, jogosultságok, hálózati konfiguráció), a távoli parancsvégrehajtás, fájlműveletek végrehajtása, valamint további eszközök és payloadok letöltése és futtatása. A backdoor C2-kommunikációja HTTPS-en keresztül zajlik, és moduláris felépítésének köszönhetően új funkciókkal is bővíthető a támadás során. A Kaspersky szerint ez az implantátum lehetővé teszi, hogy a támadók még a titkosítás előtt részletesen feltérképezzék az áldozat környezetét, kiválasszák a legértékesebb rendszereket, valamint előkészítsék az oldalirányú mozgást és az adatlopást.
A Kaspersky szerint a The Gentlemen üzleti modellje fejlett partnerprogramra épül, a fejlesztők biztosítják a ransomware-t, az adminisztrációs felületet, a szivárogtató oldalt és a tárgyalási infrastruktúrát, míg a partnerek hajtják végre a támadásokat, a bevételt pedig megosztják. A csoport különösen Európa, Észak-Amerika és Ázsia szervezeteit támadja, célpontjai között gyártóvállalatok, egészségügyi intézmények, kiskereskedelmi cégek, pénzügyi szervezetek és professzionális szolgáltatók is szerepelnek. A jelentés kiemeli, hogy a The Gentlemen nem alkalmaz különösebben új technikákat, hanem jól ismert eszközöket és bevált TTP-ket kombinál, ami megnehezíti a támadások korai felismerését. A tanulmány részletes IOC-kat is közöl.
