Gentlemen Ransomwareとは
Gentlemenランサムウェアグループは2025年8月に確認された後、短期間で高度かつ適応性の高い脅威アクターとして急速に台頭し、製造、ヘルスケア、保険、航空、消費者サービスを主な標的とし、17ヵ国で30件以上の攻撃を主張しています。特に大きな影響を受けている地域は、タイ、米国、インド、メキシコ、コロンビアです。
初期アクセスは、インターネットに公開されたサービスを悪用し、特定ソリューションの管理アカウントを悪用することで取得されます。偵察段階では、Advanced IP ScannerやNmapなどのツールを使用してネットワークをスキャンし、ドメインユーザーアカウントを特定するために列挙スクリプトを実行します。横移動とリモート実行については、PsExec、PowerRun、PuTTYなどの正規の管理ユーティリティを使用してペイロードを転送・実行することで実現されます。権限昇格については、コンポーネントを昇格した権限で実行することで達成され、侵害された環境を完全に制御できるようになります。
検出回避と永続化のために、この脅威アクターはカーネルレベルのアンチウイルス回避ユーティリティを展開し、Microsoft Defenderのリアルタイム保護を無効化し、除外設定を構成し、EDRを無力化し、テレメトリデータやイベントログを削除します。さらに、拡散のためにGroup Policy Objectsが変更され、パスワードで保護されたペイロードがNETLOGON/SYSVOLディレクトリを通じて配布され、ドメイン全体への展開が行われます。機密データはローカルでステージングされた後、WinSCPを用いた暗号化SFTPで外部に送信され、AnyDeskなどのリモートツールが永続的かつ暗号化されたコマンド&コントロールチャネルとして悪用されます。
最後に、重要なサービスが無効化され、シャドウコピーやフォレンジック痕跡が削除され、「.7mtzhh」拡張子でファイルが暗号化され、README-GENTLEMEN.txtという名称の身代金メモが配置され、攻撃効果が最大化されます。
同グループはWindowsベース環境の侵害に注力しており、独自のアンチウイルス回避ツールと高度な回避技術を組み合わせて使用しています。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- OEMに従ってWindows環境を最新バージョンにパッチ適用し、多要素認証で保護する。
- 盲点や改善点を明らかにするため、包括的な全方位の脅威評価演習を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
