「The Gentlemen」ランサムウェアの台頭
Cybereason Threat Intelligence Teamは、2025年7月頃に出現し、短期間で強力な脅威アクターとしての地位を確立した高度なランサムウェア攻撃「The Gentlemen」作戦を発見しました。このグループは、二重脅迫の手法を用いており、機密ファイルを暗号化すると同時に、企業の重要なデータを持ち出しています。被害者が身代金要求に応じない場合、盗んだ情報をダークウェブのリークサイトで公開すると脅迫しています。確立されたランサムウェア技術と新たな攻撃ベクトルの組み合わせにより、「The Gentlemen」は世界中の組織にとって増大する持続的な脅威となっています。
活動規模とRaaSモデル
「The Gentlemen」は2025年9月から被害者データの公開を開始し、専用のデータリークサイトを通じてその存在を確立しました。わずか2ヶ月の活動期間で、すでに48の組織のデータを公開しています。この急速な活動拡大は、ランサムウェアの開発と展開における彼らの豊富な経験を反映しています。
PRODAFTのインテリジェンスによると、「The Gentlemen」は他の著名なランサムウェアグループが採用している様々なアフィリエイトモデルを試した後、独自のRansomware-as-a-Service (RaaS)プラットフォームを開発しました。この体系的なアプローチにより、グループは運用プロセスを洗練させ、高度で設定可能な攻撃機能を持つ洗練されたRaaSインフラを構築し、高度な攻撃能力を求めるアフィリエイトを惹きつけています。
高度な技術的機能
「The Gentlemen」のマルウェアの最近のアップデートでは、Windows、Linux、ESXiプラットフォーム全体で驚異的な技術的強化が導入されています。
- ランサムウェアは現在、自動的な自己再起動機能と起動時実行機能を備え、スケジュールされたタスクやレジストリエントリを活用して、侵害されたシステム上での永続性を維持します。
- 暗号化速度は9〜15%向上し、マルウェアは柔軟な暗号化モード(標準、高速、超高速、超々高速)をサポートし、WMI、PowerShellリモート、サービス制御メカニズムを使用してネットワーク全体に拡散します。
- 暗号化アーキテクチャは、堅牢なXChaCha20とCurve25519アルゴリズムを利用し、強力なファイルロック機能を保証します。
- 注目すべきは、このランサムウェアがリムーバブルドライブとネットワーク共有ドライブの両方を標的とし、オリジナルのファイル変更日を保持する点です。これは、時間ベースの検出戦略を回避するために設計された技術です。
- Linuxシステムの場合、この亜種は特権昇格機能、自動ブートレベル永続性、そして回復を困難にするセキュアなディスクワイプメカニズムを実装しています。
多様なプラットフォームへの脅威
「The Gentlemen」のESXiロッカーは特に懸念される開発であり、クラスター化されたホスト、vSANストレージ環境を含む複数のVMwareインスタンスを暗号化するために明示的に最適化されています。このハイパーバイザーに特化した亜種は、仮想化されたインフラの脆弱性に対する高度な理解を示しており、グループが企業データセンターを精密に標的とする能力があることを示しています。
回収されたサンプルの技術分析により、Golangで記述された実行ファイルには、ハードコードされた身代金メモと、パスワード認証を必要とする広範なコマンドラインオプションが含まれていることが明らかになりました。マルウェアは、RDPログ、Windows Defenderテレメトリ、PowerShell履歴ファイルを削除するなど、包括的なアンチフォレンジックルーチンを実装し、インシデント後の調査を妨害します。
さらに、このランサムウェアはPowerShellコマンドを通じてWindows Defenderのリアルタイム保護をオフにし、ファイアウォールルールを変更してネットワーク検出とラテラルムーブメントを容易にします。
RaaSビジネスモデルと対策
「The Gentlemen」は、完全なRaaSプラットフォームとして、カスタマイズ可能なビルドオプション、継続的なアフィリエイトサポート、およびインフラ管理を提供しています。この作戦は、ロシアおよび独立国家共同体(CIS)のターゲットに対する活動を禁止しており、これは東ヨーロッパを拠点とするランサムウェアグループによく見られるパターンです。アフィリエイトは、EDRキラーユーティリティや信頼できるオペレーター向けのマルチチェーンシステムを含む専門ツール、交渉サポート、および柔軟な身代金要求構造を受け取ります。
高度な技術的機能、急速な運用規模拡大、二重脅迫戦術、そしてプロフェッショナルなRaaSインフラの組み合わせにより、「The Gentlemen」は信頼できる持続的な脅威として、組織が直ちに注意を払う必要があります。セキュリティチームは、この新たな脅威アクターへの露出を軽減するために、堅牢なバックアップ戦略、ネットワークセグメンテーション、EDRソリューション、およびインシデント対応計画の実施を優先すべきです。