The Gentlemen набирает популярность. Новый шифровальщик-червь от Storm-2697 пугает Microsoft
NewsMakerThe Gentlemen получил статус одной из самых агрессивных программ-вымогателей за последнее время.
Шифровальщик The Gentlemen быстро набирает популярность среди киберпреступников благодаря опасному сочетанию двух возможностей. Вредоносная программа не только надежно шифрует данные жертвы, но и самостоятельно распространяется по сети, пытаясь заразить как можно больше компьютеров и серверов. Специалисты Microsoft предупреждают , что такая комбинация способна многократно увеличить ущерб от одной атаки.
За работой сервиса-вымогателя стоит группировка Storm-2697. Проект The Gentlemen появился в середине 2025 года как закрытая операция, а осенью начал работать по модели « вымогатель как услуга», предоставляя инструменты партнерам. Недавно операторы заключили соглашение с площадкой BreachForums для привлечения новых участников, включая брокеров первоначального доступа и специалистов по тестированию на проникновение. По мнению Microsoft, сотрудничество может привести к росту числа атак.
Группировка использует схему двойного вымогательства. Перед тем как зашифровать данные, злоумышленники похищают конфиденциальные данные, а затем угрожают опубликовать украденную информацию, если компания откажется платить выкуп. Атаки уже затронули организации из сфер образования, транспорта, здравоохранения и финансов в Северной и Южной Америке, Европе, Африке и Азии.
Шифровальщик написан на языке Go и использует современные криптографические алгоритмы Curve25519 и XChaCha20. Для каждого файла создается отдельный ключ шифрования, что крайне усложняет восстановить данные без ключа злоумышленников. Небольшие файлы программа шифрует полностью, а в крупных повреждает только отдельные участки. Такой подход позволяет значительно ускорить атаку без заметного снижения эффективности. После того как обработает, к имени файла добавляется расширение .umc16h.
Перед тем как запустить шифрование, программа пытается отключить защитные механизмы Windows. Вредонос удаляет теневые копии томов, очищает журналы событий, стирает следы работы PowerShell и добавляет собственный исполняемый файл в список исключений антивируса. Одновременно останавливаются процессы баз данных, программ резервного копирования, офисных приложений и средств защиты, чтобы получить доступ к максимально возможному числу файлов.
Наиболее примечательной особенностью The Gentlemen специалисты называют способ самостоятельно распространяться. После получения доступа к одному устройству программа превращается в сетевого червя и начинает искать другие компьютеры. Для проникновения используются сразу несколько методов, включая PsExec, WMI, удаленные задания планировщика, службы Windows и средства удаленного выполнения PowerShell. Для каждого обнаруженного узла вредонос пытается выполнить до 21 отдельной операции запуска. Даже если большинство методов окажутся заблокированы, успешного срабатывания одного достаточно для продолжения заражения сети.
Перед тем как распространиться, программа копирует собственный файл в общую сетевую папку, а затем ослабляет защиту на удаленных устройствах. Среди прочего The Gentlemen отключает антивирусную защиту, брандмауэр Windows и меняет настройки доступа к сетевым ресурсам. После того как зашифрует, вредонос оставляет записку README-GENTLEMEN.txt с инструкциями по связи через сеть Tor и угрозами публикации украденных данных.
Дополнительно злоумышленники могут активировать функцию уничтожения свободного места на дисках. В таком режиме программа заполняет неиспользуемое пространство случайными данными, затрудняет восстановить удаленные файлы криминалистическими инструментами. После завершения работы шифровальщик способен удалить собственный исполняемый файл, чтобы усложнить расследование инцидента.
В Microsoft отмечают, что сочетание как надежно шифрует, активно распространяется по сети и множества способов удаленного запуска делает The Gentlemen одной из наиболее агрессивных программ-вымогателей, появившихся за последнее время.
Шифровальщик The Gentlemen быстро набирает популярность среди киберпреступников благодаря опасному сочетанию двух возможностей. Вредоносная программа не только надежно шифрует данные жертвы, но и самостоятельно распространяется по сети, пытаясь заразить как можно больше компьютеров и серверов. Специалисты Microsoft предупреждают , что такая комбинация способна многократно увеличить ущерб от одной атаки.
За работой сервиса-вымогателя стоит группировка Storm-2697. Проект The Gentlemen появился в середине 2025 года как закрытая операция, а осенью начал работать по модели « вымогатель как услуга», предоставляя инструменты партнерам. Недавно операторы заключили соглашение с площадкой BreachForums для привлечения новых участников, включая брокеров первоначального доступа и специалистов по тестированию на проникновение. По мнению Microsoft, сотрудничество может привести к росту числа атак.
Группировка использует схему двойного вымогательства. Перед тем как зашифровать данные, злоумышленники похищают конфиденциальные данные, а затем угрожают опубликовать украденную информацию, если компания откажется платить выкуп. Атаки уже затронули организации из сфер образования, транспорта, здравоохранения и финансов в Северной и Южной Америке, Европе, Африке и Азии.
Шифровальщик написан на языке Go и использует современные криптографические алгоритмы Curve25519 и XChaCha20. Для каждого файла создается отдельный ключ шифрования, что крайне усложняет восстановить данные без ключа злоумышленников. Небольшие файлы программа шифрует полностью, а в крупных повреждает только отдельные участки. Такой подход позволяет значительно ускорить атаку без заметного снижения эффективности. После того как обработает, к имени файла добавляется расширение .umc16h.
Перед тем как запустить шифрование, программа пытается отключить защитные механизмы Windows. Вредонос удаляет теневые копии томов, очищает журналы событий, стирает следы работы PowerShell и добавляет собственный исполняемый файл в список исключений антивируса. Одновременно останавливаются процессы баз данных, программ резервного копирования, офисных приложений и средств защиты, чтобы получить доступ к максимально возможному числу файлов.
Наиболее примечательной особенностью The Gentlemen специалисты называют способ самостоятельно распространяться. После получения доступа к одному устройству программа превращается в сетевого червя и начинает искать другие компьютеры. Для проникновения используются сразу несколько методов, включая PsExec, WMI, удаленные задания планировщика, службы Windows и средства удаленного выполнения PowerShell. Для каждого обнаруженного узла вредонос пытается выполнить до 21 отдельной операции запуска. Даже если большинство методов окажутся заблокированы, успешного срабатывания одного достаточно для продолжения заражения сети.
Перед тем как распространиться, программа копирует собственный файл в общую сетевую папку, а затем ослабляет защиту на удаленных устройствах. Среди прочего The Gentlemen отключает антивирусную защиту, брандмауэр Windows и меняет настройки доступа к сетевым ресурсам. После того как зашифрует, вредонос оставляет записку README-GENTLEMEN.txt с инструкциями по связи через сеть Tor и угрозами публикации украденных данных.
Дополнительно злоумышленники могут активировать функцию уничтожения свободного места на дисках. В таком режиме программа заполняет неиспользуемое пространство случайными данными, затрудняет восстановить удаленные файлы криминалистическими инструментами. После завершения работы шифровальщик способен удалить собственный исполняемый файл, чтобы усложнить расследование инцидента.
В Microsoft отмечают, что сочетание как надежно шифрует, активно распространяется по сети и множества способов удаленного запуска делает The Gentlemen одной из наиболее агрессивных программ-вымогателей, появившихся за последнее время.