The Gentlemen: когда один хост превращается в масштабный сбой

Microsoft предупреждает: опасность The Gentlemen не только в шифровании, но и в самораспространении, двойном вымогательстве и движении по сети.

2026-06-05 GIGATAP Team #security
#ransomware#security operations#privacy risk

Microsoft считает, что угроза от программы-вымогателя The Gentlemen выходит далеко за пределы простого шифрования файлов. Ключевой фактор риска — сочетание написанного на Go шифровальщика, двойного вымогательства и механизмов самораспространения, которые способны значительно увеличить последствия после первоначального проникновения.

Что нового в исследовании Microsoft#

Microsoft Threat Intelligence опубликовала технический разбор The Gentlemen — операции по модели ransomware-as-a-service, которую компания отслеживает под обозначением Storm-2697. В отчёте описан Windows-шифровальщик на Go, использующий отдельное шифрование для каждого файла и способный предпринимать попытки бокового перемещения внутри инфраструктуры.

Главное изменение касается не криптографии, а модели работы. Речь идёт не о полезной нагрузке, которая запускается только в финале атаки. Microsoft описывает шифровальщик с параметрами командной строки, позволяющими управлять областью воздействия, задержкой запуска, скоростью работы, шифрованием локальных дисков, подключённых сетевых дисков и механизмами самораспространения.

Для реальных последствий атаки это часто важнее самого алгоритма шифрования. Даже относительно слабый шифровальщик способен нанести серьёзный ущерб при широком доступе к ресурсам. А мощный шифровальщик с быстрым распространением по сети может превратить компрометацию одного узла в масштабный простой.

Кратко: The Gentlemen — это ransomware-as-a-service, который Microsoft описывает как Windows-шифровальщик на Go, используемый аффилированными участниками Storm-2697. Он сочетает шифрование данных, давление через двойное вымогательство и возможности бокового перемещения.

Почему The Gentlemen важен для команд безопасности#

The Gentlemen объединяет сразу несколько проблем в одном инциденте: компрометацию конечных устройств, злоупотребление учётными данными, доступ к сетевым шарам, риск кражи данных и массовое шифрование.

По данным Microsoft, операторы используют тактику двойного вымогательства. Это означает, что риск не ограничивается простоем инфраструктуры. Если конфиденциальные данные были похищены до шифрования, восстановление из резервных копий не устраняет давление на организацию. Инцидент становится одновременно проблемой доступности и раскрытия информации.

Microsoft также отмечает, что атаки затронули организации из сфер образования, транспорта, здравоохранения и финансов в нескольких регионах мира. Это не означает одинаковый уровень риска для всех компаний, но показывает, что модель угрозы не привязана к конкретной стране или узкой отрасли.

Сам факт использования Go важен не сам по себе. Этот язык давно распространён среди разработчиков современного вредоносного ПО благодаря удобству создания автономных исполняемых файлов и поддержки разных сред. В данном случае более существенная деталь из отчёта Microsoft — шифровальщик ориентирован на Windows и обфусцирован с помощью Garble.

Для защитников полезнее задавать другой вопрос: сможет ли одна скомпрометированная учётная запись или один заражённый компьютер получить доступ к достаточному количеству ресурсов, дисков и систем, чтобы последствия оказались критичными?

Связанный контекст GigaTap: инструменты безопасности и артефакты open source приносят пользу только тогда, когда превращаются в реальные проверки. См. материалы OpenSSF: https://gigatap.top/en/articles/openssfs-april-signal-make-security-artifacts-operational, https://gigatap.top/en/articles/100-package-test-coverage-is-the-point-not-the-slogan и https://gigatap.top/en/articles/open-source-security-needs-more-than-code.

Что проверить#

Начните с анализа сценариев бокового перемещения. В источнике Microsoft описаны механизмы самораспространения и отдельные режимы работы для локальных дисков и сетевых ресурсов. Это делает подключённые диски, UNC-шары, привилегированные задачи по расписанию и доступные учётные данные частью потенциальной зоны поражения.

Область Почему это важно Практическая проверка
Учётные данные Самораспространение может использовать переданные учётные данные или текущий токен сессии Проверьте привилегированные сеансы, устаревшие административные права и следы хранения учётных данных на рабочих станциях
Сетевые ресурсы Шифрование подключённых дисков и UNC-шар способно резко увеличить ущерб Проведите аудит прав записи в общие хранилища и сократите избыточный доступ
Защита конечных устройств Обфусцированные бинарные файлы на Go могут обходить устаревшие статические предположения Проверьте покрытие Microsoft Defender или EDR и сопоставьте его с рекомендациями Microsoft по обнаружению и hunting
Резервное копирование Восстановление данных не устраняет последствия утечки Подтвердите наличие неизменяемых резервных копий и отдельного плана реагирования на утечки
Контроль выполнения Управление через параметры командной строки даёт злоумышленникам гибкость Ищите подозрительные деревья процессов, задачи планировщика и необычную активность PowerShell или консоли

Не сводите защиту от программ-вымогателей к одному инструменту. Описанная Microsoft цепочка включает несколько этапов. Разрывайте её там, где это дешевле и эффективнее всего: контроль учётных записей, права доступа к общим ресурсам, телеметрия конечных устройств, сегментация сети и регулярно проверяемое восстановление.

Одна из самых полезных проверок предельно проста: возьмите обычную рабочую станцию и выясните, в какие ресурсы она может записывать данные прямо сейчас. Затем оцените последствия злоупотребления пользовательским токеном. Во многих случаях крупные инциденты начинаются с ошибок проектирования доступа.

Чего не стоит утверждать#

Источник даёт основания для повышенного внимания, но не для паники. Microsoft описывает наблюдаемую активность, технические особенности и риск расширения сети аффилированных операторов. Это не означает, что каждая организация автоматически становится целью The Gentlemen.

Также нет оснований считать вредоносное ПО на Go по умолчанию опаснее программ, написанных на других языках. Риск определяется всей моделью работы: распространением через RaaS, сетью партнёров, двойным вымогательством, архитектурой шифрования и механизмами бокового перемещения.

Упомянутое Microsoft сотрудничество с BreachForums может расширить доступ к программе для новых участников, включая специалистов по первоначальному доступу и отдельных пентестеров. Формулировки здесь важны: «может привести к росту активности» — не то же самое, что доказательство будущей кампании против конкретной отрасли.

Правильный подход — не концентрироваться на названии угрозы. Используйте его как повод проверить устойчивость к конкретным техникам: распространению через учётные данные, шифрованию общих ресурсов, обходу защитных механизмов, краже данных и восстановлению после серьёзных нарушений работы.

FAQ#

The Gentlemen — это прежде всего риск шифрования?#

Нет. По анализу Microsoft основная опасность связана с комбинацией шифрования, самораспространения и двойного вымогательства. Поэтому речь идёт одновременно об операционной безопасности, защите данных и приватности, а не только об очистке заражённых устройств.

Кому стоит обратить внимание в первую очередь?#

Командам SOC, специалистам по реагированию на инциденты, администраторам идентификационной инфраструктуры и владельцам критических систем. Особенно тем организациям, где широко распространён доступ к файловым шарам, плохо разделены привилегии или отсутствует полноценная телеметрия конечных устройств.

Что проверить перед тем, как делать выводы?#

Изучите первоисточник, рекомендации Microsoft по обнаружению и hunting, а также собственную поверхность атаки. Не принимайте решения только по названию программы-вымогателя. Проверьте, способен ли один скомпрометированный пользователь или хост получить достаточно широкий доступ для массового шифрования общих данных.