TheGentleman opera un modelo RaaS, priorizando la explotación de vulnerabilidades de acceso remoto. Emplea Cobalt Strike para C2 y movimiento lateral. Realiza doble extorsión, cifrando sistemas y exfiltrando datos sensibles. Elimina copias de seguridad para dificultar la recuperación. Impacta la continuidad del negocio y la integridad de los datos.
Cronología y evolución
-
Mediados de 2022: El grupo TheGentleman emerge, inicialmente utilizando variantes de ransomware basadas en Golang. Esta fase inicial se centró en la prueba de vectores de acceso, priorizando la explotación de RDP expuestos. El impacto operacional fue limitado a pequeñas y medianas empresas.
-
Principios de 2023: TheGentleman migra a un modelo RaaS, reclutando afiliados a través de foros clandestinos. Esta transición amplió significativamente su alcance. La adopción del modelo RaaS permitió al grupo escalar sus ataques, enfocándose en organizaciones más grandes y lucrativas.
-
Mediados de 2023: Se observa un cambio en la infraestructura de ransomware, con nuevas variantes que incluyen soporte para sistemas Linux y ESXi. Esta evolución permitió al grupo impactar entornos virtuales y bases de datos críticas. El impacto operacional se extendió a la continuidad del negocio de alto nivel.
-
Finales de 2023: TheGentleman lanza su sitio de filtración dedicado, ‘TheGentleman Dumps’, para aplicar la doble extorsión. Esta iniciativa aumentó la presión sobre las víctimas para pagar. La visibilidad de las víctimas en el sitio de filtración incrementó la reputación del grupo entre otros actores de amenazas.
-
Principios de 2024: Se documenta la adopción de nuevas tácticas de acceso inicial, incluyendo campañas de phishing dirigidas con documentos maliciosos. Este cambio de enfoque permitió evadir defensas perimetrales más robustas. La sofisticación de sus métodos de ingeniería social mejoró la tasa de éxito de los compromisos iniciales.
Resumen del ataque
| Fase | Descripción |
|---|---|
| Acceso inicial | Obtiene acceso inicial explotando vulnerabilidades en appliances de VPN y RDP expuestos. Aprovecha CVEs como CVE-2023-46805 en Fortinet o CVE-2022-22965 en Spring Cloud. |
| Acceso a credenciales | Una vez dentro, el grupo utiliza Mimikatz para volcar credenciales de LSASS. También despliega LaZagne para extraer contraseñas de navegadores web y clientes FTP. |
| Persistencia y evasión | Establecen persistencia creando nuevas cuentas de administrador local o de dominio. Modifican servicios de Windows legítimos y tareas programadas para ejecutar cargas útiles persistentes. |
| Movimiento lateral | El grupo emplea PsExec y PowerShell Remoting para moverse lateralmente por la red. Utilizan credenciales robadas para acceder a otros sistemas a través de SMB y RDP. |
| Exfiltración | Recopilan datos sensibles de servidores de archivos, bases de datos y ubicaciones de SharePoint. Staging de los datos en directorios temporales o comprimidos en archivos ZIP protegidos con contraseña. |
| Cifrado | El ransomware de TheGentleman utiliza una combinación de AES-256 para el cifrado de archivos simétrico y RSA-4096 para la clave de sesión. |
| Impacto y destrucción | El grupo ejecuta comandos vssadmin delete shadows y wmic shadowcopy delete para eliminar todas las copias de volumen. |
Acceso inicial
Obtiene acceso inicial explotando vulnerabilidades en appliances de VPN y RDP expuestos. Aprovecha CVEs como CVE-2023-46805 en Fortinet o CVE-2022-22965 en Spring Cloud. Realiza ataques de fuerza bruta o ‘credential stuffing’ contra servicios públicos de cara a Internet.
Acceso a credenciales
Buscan contraseñas en texto claro de bases de datos internas o archivos de configuración locales.
Persistencia y evasión
Establecen persistencia creando nuevas cuentas de administrador local o de dominio. Modifican servicios de Windows legítimos y tareas programadas para ejecutar cargas útiles persistentes. También manipulan las políticas de grupo para deshabilitar las soluciones de seguridad.
Movimiento lateral
También comprometen hosts ESXi a través de SSH utilizando credenciales de administrador robadas.
Exfiltración
Recopilan datos sensibles de servidores de archivos, bases de datos y ubicaciones de SharePoint. Staging de los datos en directorios temporales o comprimidos en archivos ZIP protegidos con contraseña. Utilizan Rclone para transferir grandes volúmenes de datos a servicios en la nube como Mega o servidores SFTP controlados.
Cifrado
El cifrador de TheGentleman implementa un modelo de cifrado híbrido multihilo para maximizar la velocidad de impacto, protegiendo los datos mediante algoritmos simétricos como AES-256 o ChaCha20, mientras que el intercambio de claves se resguarda con RSA-2048 o RSA-4096. Dependiendo de la variante (Windows, Linux o VMware ESXi), el malware emplea modos de cifrado parcial u optimizado con protección contra interrupciones en el flujo de archivos.
Cada archivo cifrado obtiene una clave AES única, que luego se cifra con una clave pública RSA. El ransomware evita cifrar archivos críticos del sistema para mantener la operatividad básica.
Impacto y destrucción
El grupo ejecuta comandos vssadmin delete shadows y wmic shadowcopy delete para eliminar todas las copias de volumen. Deshabilitan el inicio de recuperación con bcdedit /set {default} recoveryenabled No. También eliminan backups en red y snapshots de máquinas virtuales en entornos ESXi, lo que impide la recuperación de datos sin el descifrador.
Víctimas y geografía
Las víctimas de TheGentleman se concentran principalmente en América del Norte y Europa occidental. Observamos ataques en sectores como manufactura, atención sanitaria, educación superior y servicios financieros. La selección de víctimas indica un enfoque en la rentabilidad y el acceso a datos sensibles o infraestructuras críticas.
Fuentes
- Unit 42 by Palo Alto Networks: Ransomware Group Analysis
- SentinelOne Labs: Ransomware Trends
- BleepingComputer: Ransomware News
- CrowdStrike Blog: Threat Intelligence Updates
- Cisco Talos Intelligence: Advanced Threat Research
- Sophos Labs: Threat Research
Sectores Objetivo
Sectores de actividad en los que el grupo TheGentleman ha concentrado sus ataques.
Buscan interrumpir cadenas de suministro y robar propiedad intelectual. Los datos de diseño y producción son objetivos clave. La interrupción de las operaciones causa un impacto económico significativo.
Objetivo por la criticidad de los servicios y los datos personales de salud (PHI). La interrupción de servicios puede poner vidas en riesgo. El robo de registros médicos tiene un alto valor en el mercado negro.
Objetivo por grandes volúmenes de datos de investigación y personales. Las infraestructuras complejas son a menudo menos seguras. La disrupción académica y la fuga de datos de investigación son impactos comunes.
Atacados por datos de clientes y transaccionales, buscando altos pagos de rescate. La interrupción de operaciones causa una gran pérdida de confianza. El acceso a información financiera es extremadamente valioso.
Objetivo por información ciudadana y la interrupción de servicios públicos. Las redes gubernamentales a menudo tienen recursos limitados de seguridad. La interrupción de servicios esenciales afecta directamente a la población.
Detection & Response Rules
Reglas listas para importar en SentinelOne XDR. Contacta con nosotros para acceso completo al repositorio actualizado.
Detecta la ejecución de Mimikatz o herramientas similares para el volcado de credenciales del proceso LSASS. La detección temprana es crucial para prevenir el movimiento lateral. La observación de este proceso sugiere un intento de robo de credenciales.
event.type = 'Process Creation' AND tgt.process.name = 'lsass.exe' AND tgt.process.cmdline CONTAINS_ANY ('dump', 'sekurlsa')Identifica la ejecución de PsExec o el servicio remoto 'PSEXESVC' en hosts. Esta actividad puede indicar movimiento lateral. La supervisión de estos procesos es vital para contener la propagación.
event.type = 'Process Creation' AND (tgt.process.name = 'psexec.exe' OR tgt.process.name = 'PSEXESVC.exe')Alerta sobre el uso de `vssadmin.exe` o `wmic.exe` para eliminar instantáneas de volumen. Este es un paso común antes del cifrado de ransomware. La detección de estos comandos previene la destrucción de puntos de recuperación.
event.type = 'Process Creation' AND (tgt.process.cmdline CONTAINS 'vssadmin delete shadows' OR tgt.process.cmdline CONTAINS 'wmic shadowcopy delete')Detecta la ejecución de Rclone con parámetros de subida a servicios en la nube. Esta es una señal clara de exfiltración de datos. La monitorización de Rclone impide la fuga de información sensible.
event.type = 'Process Creation' AND tgt.process.name = 'rclone.exe' AND tgt.process.cmdline CONTAINS_ANY ('copy', 'sync', 'move') AND tgt.process.cmdline CONTAINS_ANY ('mega', 'dropbox', 's3', 'ftp')Identifica la creación de nuevas cuentas de usuario local con privilegios elevados. El grupo utiliza esto para establecer persistencia. La revisión de la creación de cuentas previene accesos no autorizados.
event.type = 'Process Creation' AND tgt.process.name = 'net.exe' AND tgt.process.cmdline CONTAINS 'user' AND tgt.process.cmdline CONTAINS '/add'Detecta comandos de PowerShell que intentan deshabilitar Windows Defender o añadir exclusiones. Esta acción precede a menudo al despliegue del ransomware. La prevención de la manipulación de AV mantiene las defensas activas.
event.type = 'Process Creation' AND tgt.process.name = 'powershell.exe' AND tgt.process.cmdline CONTAINS_ANY ('Set-MpPreference', 'Disable-MpProtection')Alerta sobre inicios de sesión SSH inusuales o fallidos repetidamente en hosts ESXi. El grupo utiliza SSH para ejecutar comandos de cifrado. La monitorización de accesos SSH protege la infraestructura virtual.
event.type = 'Network Connection' AND tgt.file.path CONTAINS 'ssh' AND TgtIpAddress = 'ESXI_HOST_IP' AND event.url.action = 'Connected'