«Лаборатория Касперского»: группа вымогателей Gentlemen обновила инструментарий

Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили, что группа вымогателей Gentlemen, которая атакует компании по всему миру и из разных отраслей, в том числе из производства, ИТ, здравоохранения, финансов, строительства и логистики, начала использовать новые вредоносные инструменты — собственной разработки

Как получают доступ. Группа, работающая по модели «программа-вымогатель как услуга» (RaaS), появилась предположительно в середине 2025 года. Она сама и её партнёры в основном получают первоначальный доступ к целевым системам путём эксплуатации интернет-сервисов и компрометации учётных данных. Возможно, злоумышленники сотрудничают с брокерами начального доступа (IAB). В пользу этого предположения говорит то, что доступ к некоторым целевым системам был получен с использованием методов, которые Gentlemen обычно не применяет, и задолго до заражения программой-вымогателем. Это может означать, что изначально его получила какая-то другая группа.

Вредоносное ПО собственной разработки. В отличие от многих других групп, действующих по модели RaaS, Gentlemen демонстрирует высокую степень изощрённости, используя собственные инструменты и гибкие тактики проникновения.

Исследователи «Лаборатории Касперского» обнаружили ранее неизвестный бэкдор, написанный на языке Go, который злоумышленники развернули за день до запуска программы-вымогателя. Зловред собирает информацию о хосте и сети, также в число его возможностей входят двунаправленная связь с злоумышленниками, выполнение команд от сервера и разведка, что позволяет атакующим расширять и адаптировать свою деятельность в скомпрометированной среде.

Также эксперты компании выявили новый вариант программы-вымогателя, написанный на языке C. Он затронул ряд жертв. Gentlemen преимущественно использует вредоносное ПО, написанное на языке Go и предназначенное для кросс-платформенного использования. Новый вариант, по-видимому, ориентирован исключительно на Windows. Возможно, группа тестирует это вредоносное ПО в реальных средах, чтобы расширять свои технические возможности.

В ходе атак злоумышленники пытались удалить решение «Лаборатории Касперского» с помощью специальной утилиты. Однако защита осталась активной, а действия атакующих были остановлены и отмечены как вредоносные.

«Несмотря на то что группа Gentlemen появилась недавно, она быстро завоёвывает репутацию среди злоумышленников, привлекает партнёров и осуществляет громкие атаки. Тестирование новых вариантов программ-вымогателей, написанных на языке C, свидетельствует о том, что атакующие активно совершенствуют свои возможности. В ближайшем будущем это может привести к появлению более стабильных и масштабируемых цепочек атак. Активность программ-вымогателей остаётся высокой, поэтому мы настоятельно рекомендуем организациям уделить приоритетное внимание процессам управления уязвимостями и укрепления систем для снижения риска взлома», — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.

Для защиты от программ-вымогателей «Лаборатория Касперского» рекомендует организациям:

• регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы не дать злоумышленникам воспользоваться уязвимостями и проникнуть в сеть;
• сфокусировать стратегию защиты на обнаружении перемещения по сети и утечки данных в интернет;
• уделять особое внимание исходящему трафику, чтобы выявлять подключения злоумышленников к сети;
• настроить автономное резервное копирование, которое злоумышленники не смогут подделать;
• убедиться, что в случае необходимости или в экстренной ситуации к резервным копиям можно быстро получить доступ;
• применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли.

Подробнее о новых вредоносных инструментах злоумышленников — в публикации на Securelist.com.