Pourquoi le ransomware The Gentlemen est un test de contrôles d’identité et de récupération

Lucas Morel

L’utilisation par le ransomware d’outils d’administration fiables et de tactiques de récupération et d’interruption montre pourquoi le confinement, et pas seulement la détection des points finaux, devient essentiel à la défense des entreprises.

Le ransomware Gentlemen souligne un défi auquel de nombreux RSSI sont confrontés : arrêter les attaquants après qu’ils aient pris pied. Les chercheurs affirment que les logiciels malveillants peuvent se propager sur les réseaux d’entreprise à l’aide d’outils de gestion Windows légitimes tout en tentant d’affaiblir les systèmes de sécurité et de récupération.

Un rapport de Picus Security montre que le malware combine l’auto-propagation avec l’abus d’outils d’administration fiables et des tentatives de détériorer les systèmes de récupération avant le début du chiffrement. Le rapport fait suite à une analyse technique du chiffreur publiée par Microsoft Threat Intelligence fin mai.

The Gentlemen est une opération de ransomware en tant que service écrite en Go et obscurcie avec Garble. Le groupe a émergé pour la première fois vers la mi-2025 en tant qu’opération fermée et a commencé à proposer sa plateforme aux affiliés en septembre 2025.

Le rapport Picus se concentre sur un chiffreur ciblant Windows, mais d’autres chercheurs ont signalé des outils Gentlemen plus larges destinés aux environnements Linux et VMware ESXi. Le groupe a été observé lors d’attaques contre des organisations dans des secteurs tels que l’éducation, les transports, la santé et les services financiers en Amérique du Nord, en Amérique du Sud, en Europe, en Afrique et en Asie.

Sa capacité d’auto-propagation est la caractéristique la plus importante pour les défenseurs des entreprises. Lorsqu’il est activé, le logiciel malveillant peut énumérer les systèmes accessibles, organiser son binaire via un partage SMB et tenter jusqu’à 21 opérations d’exécution à distance sur chaque cible.

Ces méthodes incluent PsExec, WMIC, les tâches planifiées, les services Windows, l’accès à distance PowerShell et la création de processus WMI. La redondance vise à améliorer les chances de réussite d’au moins une méthode, permettant ainsi au malware de continuer à se propager sur le réseau.

Avant le chiffrement, The Gentlemen tente d’affaiblir l’environnement de la victime en désactivant Microsoft Defender, en supprimant les clichés instantanés et en supprimant les artefacts médico-légaux. Il arrête également les services liés aux bases de données, aux outils de sauvegarde, à la protection des points finaux et aux plates-formes de virtualisation, une tactique qui peut rendre la récupération plus difficile une fois le chiffrement commencé.

Le chiffreur utilise un schéma de chiffrement hybride Curve25519 et XChaCha20 avec des clés uniques pour chaque fichier, a déclaré Picus. Dans l’échantillon cité par Picus, les fichiers cryptés étaient accompagnés de l’extension .umc16h, bien que d’autres chercheurs aient observé différentes extensions dans des campagnes Gentlemen distinctes. Le groupe utilise également des tactiques de double extorsion, menaçant de divulguer les données volées si les victimes ne paient pas.

Mouvements latéraux et risques identitaires

Une fois que les attaquants ont pris pied, les identités compromises et les privilèges excessifs comptent souvent plus que le malware lui-même, a déclaré Sakshi Grover, directeur de recherche senior pour la recherche sur les services de cybersécurité chez IDC Asie/Pacifique.

« The Gentlemen renforce une tendance qu’IDC a observée dans les opérations modernes de ransomware : les attaquants exploitent de plus en plus des outils d’administration fiables, des identités compromises et des privilèges excessifs plutôt que de s’appuyer uniquement sur des logiciels malveillants sophistiqués ou des exploits Zero Day », a déclaré Grover.

Pour les RSSI, cela signifie que la défense contre les ransomwares ne peut pas être jugée uniquement en fonction du blocage ou non de la compromission initiale. Les organisations doivent également limiter la distance qu’un attaquant peut parcourir une fois à l’intérieur du réseau.

Grover a déclaré que les responsables de la sécurité devraient commencer par des contrôles plus stricts autour des comptes privilégiés, y compris une MFA résistante au phishing et des limites plus strictes sur les personnes pouvant accéder aux systèmes critiques. La gouvernance des identités et la segmentation du réseau doivent ensuite être utilisées pour réduire le nombre de chemins qu’un attaquant peut emprunter une fois à l’intérieur de l’environnement.

Ces contrôles doivent être testés par le biais d’émulations d’adversaires et de tests de chemins d’attaque, plutôt que de supposer qu’ils sont efficaces parce qu’ils existent sur papier.

Sauvegardes et outils de point de terminaison

Selon les analystes, la tentative des Gentlemen de compromettre les outils de sécurité et de récupération met en évidence une faiblesse commune dans la planification des ransomwares en entreprise.

« De nombreuses organisations continuent d’assimiler le déploiement de plates-formes de sauvegarde ou de solutions de détection de points finaux à la résilience aux ransomwares », a déclaré Grover. « Cependant, les ransomwares sophistiqués ciblent de plus en plus ces mêmes capacités avant que le chiffrement ne commence. »

Grover a ajouté que les RSSI devraient tester si les systèmes de récupération restent utilisables lors d’une compromission active, y compris les sauvegardes censées être immuables et les outils de point final protégés contre la falsification. Ces exercices doivent également tenir compte de la possibilité qu’Active Directory ou les consoles de gestion de la sécurité des clés ne soient pas disponibles.

L’hypothèse la plus dangereuse est qu’avoir des sauvegardes équivaut à pouvoir récupérer d’un ransomware, selon Devashri Datta, chercheur en cybersécurité.

« Si vos sauvegardes résident sur le même réseau plat ou dépendent des mêmes informations d’identification Active Directory compromises, elles ne constituent pas un actif de récupération ; elles font partie de la surface d’attaque », a-t-elle déclaré.

Datta a également souligné une dépendance excessive aux outils de détection et de réponse des points finaux. Les chercheurs d’ESET ont associé The Gentlemen à un ensemble d’outils EDR-killer mature, comprenant des variantes qui abusent des pilotes vulnérables pour perturber les logiciels de sécurité.

Un problème de résilience opérationnelle

Le modèle du groupe reflète l’industrialisation continue du ransomware-as-a-service, un cadre qui, selon Datta, abaisse les barrières techniques pour les affiliés en associant le cryptage à des couches d’évasion et de propagation standardisées.

Pour les RSSI, la question n’est pas de savoir si les outils de sauvegarde et de point final sont en place, mais s’ils fonctionnent toujours une fois que les attaquants ont obtenu un accès administratif. Datta a déclaré que les organisations doivent évaluer l’exposition au niveau de l’infrastructure d’identité, d’Active Directory, des services cloud et des environnements de sauvegarde.

La priorité, selon elle, est de réduire les voies disponibles pour les attaquants et de prouver, grâce à des exercices de résilience réguliers, que l’organisation peut contenir une intrusion avant qu’elle ne se transforme en une panne plus large.

RançongicielLogiciel malveillantCybercriminalitéSécurité