L’analyse du ransomware Gentlemen par Microsoft révèle un chiffreur basé sur Go capable de se propager sur les réseaux, aidant ainsi les opérateurs à étendre leurs attaques au-delà du système initialement compromis.
Les opérateurs de ransomwares ont passé des années à perfectionner l’art du verrouillage des fichiers. Aujourd’hui, certains travaillent plus dur pour que ces casiers soient d’abord accessibles sur tous les systèmes accessibles.
Le récent avertissement de Microsoft concernant le ransomware Gentlemen a révélé que ses opérateurs utilisaient un chiffreur auto-propagé basé sur Go, capable de se déplacer latéralement dans des environnements compromis et de se déployer sur des systèmes supplémentaires.
« Les ransomwares modernes ne se limitent plus à chiffrer des fichiers », a déclaré Paul Reid, vice-président de Adversary Research chez AttackIQ. « Le risque le plus important réside dans la rapidité avec laquelle une seule machine compromise peut entraîner une perturbation plus large de l’activité. »
Dans une analyse technique de ses opérations, Microsoft a déclaré que le Gentlemen Ransomware avait été observé pour la première fois au milieu de 2025 et qu’il resterait très actif jusqu’en 2026, affectant les organisations des secteurs de l’éducation, des transports, de la santé et de la finance en Amérique du Nord, en Amérique du Sud, en Europe, en Afrique et en Asie.
Gentlemen a commencé comme un « ransomware fermé », s’est transformé en une offre de ransomware-as-a-service (RaaS) en septembre 2025, et s’est finalement associé à BreachForums pour recruter des affiliés, notamment des testeurs d’intrusion et des courtiers d’accès initial, sur le marché cybercriminel populaire.
Conçu pour se déplacer avant de chiffrer
L’analyse de Microsoft s’est spécifiquement concentrée sur la capacité du ransomware à se propager à travers un réseau sans dépendre entièrement de l’intervention manuelle d’un opérateur.
Le chiffreur, écrit en Go, comprend des fonctionnalités conçues pour identifier des systèmes supplémentaires, s’authentifier à l’aide des informations d’identification collectées et se copier sur des machines distantes via Server Message Block (SMB). Une fois déployé, il peut s’exécuter à distance et continuer à se propager, créant ainsi une infection en chaîne au sein d’environnements compromis.
Selon Microsoft, le malware exploite des outils d’administration légitimes et des fonctionnalités Windows pour faciliter les déplacements tout en réduisant la nécessité pour les attaquants de rester activement impliqués dans l’opération.
« L’opérateur du ransomware peut contrôler le chiffreur The Gentlemen via des arguments de ligne de commande », a déclaré Microsoft. « Un mot de passe est requis pour l’exécution, et des arguments facultatifs permettent à l’opérateur de spécifier la portée, la vitesse, les mouvements latéraux et les comportements post-chiffrement. »
L’un des arguments de ligne de commande, « –full », lance des processus distincts pour chiffrer les disques locaux avec les privilèges SYSTEM et les partages réseau visibles par l’utilisateur, afin de maximiser la couverture de chiffrement une fois la machine compromise. De plus, une commande « –spread » est utilisée pour la propagation latérale.
« Les défenseurs devraient traiter The Gentlemen comme un problème de chemin d’attaque, et pas seulement comme un problème de correctif ou de détection », a déclaré Reid. « La priorité est de comprendre où le ransomware pourrait se déplacer, quels contrôles pourraient le détecter, le contenir ou le perturber, et où des lacunes existent encore avant qu’un incident ne se produise. »
Gentlemen effectue une « vérification du mot de passe » pour valider l’utilisation de son RaaS par les affiliés et bloque son utilisation contre toute récupération ou interception binaire indésirable. « Avant d’exécuter sa fonctionnalité principale, le malware valide l’argument par rapport à une valeur codée en dur intégrée dans le binaire », a noté Microsoft. « Pour l’échantillon analysé dans ce blog, le mot de passe attendu est ‘9VoAvR7G’. »
Les fenêtres de détection diminuent
L’analyse de Microsoft met en évidence les défis défensifs posés par les ransomwares auto-propagés. Une fois l’exécution commencée, le temps disponible pour détecter, enquêter et contenir les activités malveillantes peut diminuer considérablement à mesure que le logiciel malveillant se propage à d’autres systèmes.
« Ce n’est pas le genre de menace dans laquelle une organisation peut attendre un ticket d’assistance ou un écran verrouillé pour se rendre compte que quelque chose ne va pas », a déclaré John Joyner, directeur principal de la technologie chez Corsica Technologies. « Les logiciels malveillants peuvent se déplacer rapidement dans un réseau une fois qu’ils ont pris pied, ce qui fait de la détection précoce la différence entre un incident contenu et une perturbation à l’échelle de l’entreprise. »
Microsoft a souligné l’importance de surveiller les activités de mouvement latéral, les abus d’informations d’identification, les tentatives d’exécution à distance et d’autres comportements associés à la propagation de Gentlemen plutôt que de se concentrer uniquement sur les événements de chiffrement.
De plus, il a partagé une liste d’indicateurs de compromission (IOC) pour soutenir les efforts de détection. Pour ceux qui ne l’attrapent pas à temps, le ransomware laisse une note. « Votre réseau est verrouillé par les Gentlemen », lit-on sur un fond d’écran sur les machines de la victime.
