Thegentlemen

Überblick

The Gentlemen ist eine als Ransomware-as-a-Service betriebene Erpressergruppe, die ihren Partnern einen besonders hohen Anteil an den erbeuteten Erlösen anbietet und auf diese Weise zahlreiche Mitwirkende anwirbt. Über einen begrenzten Zeitraum hinweg meldete die Gruppe eine erhebliche Zahl von Opfern in Einrichtungen unterschiedlicher Branchen und Regionen. Kennzeichnend ist ein eigenentwickelter, in der Programmiersprache Go geschriebener Verschlüsselungsbaustein, der gegen mehrere Plattformen gerichtet ist — darunter Windows, Linux, BSD sowie netzgebundene Speichersysteme (NAS). Die Gruppe arbeitet arbeitsteilig: Während die Kernakteure Infrastruktur und Schadprogramme bereitstellen, übernehmen Partner die eigentlichen Einbrüche. Nach der Kompromittierung eines von der Gruppe genutzten Steuerungsservers (Command-and-Control) wurde sichtbar, dass die Zahl der tatsächlich betroffenen Opfer deutlich höher lag als öffentlich beansprucht. The Gentlemen kombiniert Datendiebstahl mit anschließender Verschlüsselung und setzt die Geschädigten so doppelt unter Druck.

Taktiken & Vorgehen

Den Erstzugang verschafft sich The Gentlemen über gültige Konten und Domänenkonten, über die Ausnutzung öffentlich erreichbarer Anwendungen sowie über Spear-Phishing aus kompromittierten OWA-Postfächern, wobei ZIP-Anhänge mit als Dokumente getarnten LNK-Dateien Spamfilter umgehen. Für Fernzugänge wird openconnect gegen FortiGate-SSL-VPN eingesetzt. Im Netz kommen NetExec (nxc), TrustedSec Titanis, PowerShell und Windows-Befehlsshell zum Einsatz; der Locker und EDR-Killer werden domänenweit per GPO verteilt. Zur Erkundung dienen BloodHound, CertiHound, ADFind, ldapdomaindump, gogo scanner sowie Censys und Shodan. Anmeldedaten werden mit KslDump/KslKatz (LSASS), XenAllPasswordPro und DumpBrowserSecrets abgegriffen, NTLM-Authentisierung über PetitPotam, Responder, RelayKing und ntlmrelayx erzwungen und weitergeleitet. Abwehrmechanismen werden mittels BYOVD-Treibern, EDRStartupHinder und GFreeze/GLinker ausgehebelt; Velociraptor sichert persistenten Zugriff. Exfiltriert wird per rclone, getunnelt über ProxyChains, Chisel-ng und Tor.

Schutzmaßnahmen

Fernzugänge wie FortiGate-SSL-VPN sollten über Mehr-Faktor-Authentisierung abgesichert, auf Standardports beschränkt und auf Brute-Force-Versuche überwacht werden; in Konfigurationsdateien hinterlegte Klartext-Zugangsdaten sollten entfernt werden. Eingehende E-Mails aus OWA-Postfächern sollten auf ZIP- und LNK-Anhänge gefiltert werden. Der Speicherzugriff auf LSASS sollte überwacht und durch entsprechende Schutzfunktionen gehärtet werden, um KslDump/KslKatz und XenAllPasswordPro zu begegnen. NTLM-Relay-Angriffe über PetitPotam und Responder sollten durch SMB-Signierung, LDAP-Channel-Binding und Deaktivierung erzwungener Authentisierung unterbunden werden. Die domänenweite Software-Verteilung per GPO sollte eingeschränkt und überwacht werden, der Manipulationsschutz der EDR-Lösung gegen BYOVD-Treiber aktiviert sein. Ausgehende Verbindungen über Tor, Cloudflare-Tunnel und rclone-Übertragungen sollten erkannt und blockiert werden.