Hack Alerta

Ransomware The Gentlemen usa 21 técnicas de execução remota para infectar redes

Novo ransomware The Gentlemen utiliza 21 técnicas de execução remota e propagação tipo worm para infectar redes inteiras, exigindo medidas defensivas específicas.

Emergência de uma Ameaça Avançada

Uma nova cepa de ransomware chamada The Gentlemen emergiu como uma das ameaças mais agressivas rastreadas este ano, combinando criptografia forte com um mecanismo de worm auto-propagante que pode derrubar uma rede corporativa inteira a partir de uma única máquina infectada. Escrito na linguagem de programação Go e disfarçado usando uma ferramenta chamada Garble, o malware apareceu pela primeira vez em meados de 2025 e evoluiu para uma operação completa de ransomware-as-a-service.

O que torna este ransomware distinto não é apenas como ele bloqueia arquivos, mas o quão longe ele pode viajar uma vez dentro de uma rede. Em vez de apenas criptografar a máquina em que pousa, ele caça ativamente outros computadores na mesma rede e tenta infectá-los também. Essa funcionalidade de auto-propagação transforma um laptop ou servidor infectado em uma plataforma de lançamento para um ataque muito maior.

Analistas e pesquisadores da Picus Security relataram que têm acompanhado de perto este malware e publicaram recentemente uma análise detalhada de como ele opera do início ao fim. Sua pesquisa mostra que o ransomware segue uma sequência muito deliberada, começando com validação de senha e elevação de privilégio, movendo-se para evasão de defesa, criptografia e, finalmente, propagação em toda a rede.

Propagação em Rede e Técnicas de Execução

A funcionalidade de auto-propagação é acionada por uma flag de linha de comando chamada --spread, e é isso que separa este ransomware de criptografadores convencionais de um único host. Uma vez ativado, a máquina infectada transforma-se em um hub de distribuição copiando seu próprio binário para uma pasta e publicando-o em um compartilhamento de rede oculto configurado para acesso anônimo.

A partir daí, o malware puxa uma ferramenta de sistema legítima chamada PsExec, seja de uma cópia local ou baixando-a, e começa a escanear a rede em busca de máquinas alcançáveis, incluindo estações de trabalho regulares, servidores e controladores de domínio. Cada máquina descoberta torna-se um alvo para infecção.

Contra cada alvo, o malware primeiro executa um script que enfraquece as defesas da máquina remota, desativando o monitoramento de segurança, desligando a proteção do firewall e até reativando uma versão desatualizada e insegura do protocolo de compartilhamento de arquivos. Apenas após limpar este caminho é que ele tenta executar a carga útil do ransomware.

Para executar a carga útil, o malware tenta até 21 métodos diferentes de execução remota por alvo, incluindo cópia remota de arquivos, PsExec, tarefas agendadas, serviços do Windows e técnicas baseadas em PowerShell. Como cada método funciona independentemente, os atacantes precisam apenas que um deles tenha sucesso em uma máquina dada para manter a infecção se espalhando.

Táticas de Criptografia e Evasão de Defesa

Antes de tocar em um único arquivo, o ransomware trabalha para desativar o Microsoft Defender, limpar logs forenses e excluir Cópias de Sombra do Volume duas vezes usando dois comandos separados para confiabilidade. Ele também limpa o histórico de comandos e exclui ferramentas de backup e recuperação para tornar a restauração de sistemas sem pagar muito mais difícil.

Para a criptografia real, o malware usa uma abordagem híbrida combinando criptografia de curva elíptica Curve25519 com o cipher de fluxo XChaCha20, gerando uma chave única para cada arquivo que toca. Este design torna a decodificação de arquivos sem a chave privada do atacante praticamente impossível, e ele renomeia cada arquivo criptografado com uma extensão distinta.

As organizações devem focar em validar suas defesas contra esta cadeia de ataque específica, em vez de confiar em proteções genéricas contra ransomware. Testar controles de segurança contra simulações reais de ataque, manter backups offline e monitorar de perto os comandos específicos e comportamentos de rede descritos acima são passos práticos que podem reduzir significativamente o risco.

Indicadores de Comprometimento (IOCs)

Os indicadores de comprometimento identificados incluem a extensão de arquivo .umc16h adicionada aos arquivos após a criptografia, a nota de resgate README-GENTLEMEN.txt deixada nos sistemas infectados e o caminho de arquivo C:\Temp usado para estagiar o binário do malware durante a propagação. O compartilhamento de rede oculto \\share$ é usado para acesso anônimo durante a disseminação.

Além disso, o uso da ferramenta legítima PsExec para execução remota durante o movimento lateral é um indicador chave. Organizações devem monitorar o tráfego de rede para conexões PsExec incomuns e a criação de compartilhamentos de rede ocultos com acesso anônimo.

Recomendações para CISOs

Diante da natureza agressiva do The Gentlemen, as equipes de segurança devem revisar imediatamente suas políticas de compartilhamento de arquivos e permissões de rede. Desabilite o acesso anônimo a compartilhamentos de rede onde não for estritamente necessário. Implemente soluções de detecção que monitorem o uso de PsExec e outras ferramentas de administração remota em horários incomuns.

A segmentação de rede é crucial para conter a propagação. Garanta que as estações de trabalho não tenham acesso direto a servidores críticos sem autenticação forte. Mantenha backups offline e testados regularmente para garantir a recuperação em caso de ataque bem-sucedido. A conscientização dos usuários sobre phishing e engenharia social também deve ser reforçada, pois este é o vetor de entrada primário.

Conclusão

O The Gentlemen representa uma evolução significativa na ameaça de ransomware, combinando criptografia robusta com capacidades de worm que podem paralisar organizações inteiras rapidamente. A resposta eficaz requer uma combinação de prevenção de rede, monitoramento de comportamento e preparação para recuperação de desastres. A vigilância contínua e a atualização das defesas são essenciais para mitigar o risco desta campanha ativa.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.