✅ レポートタイトル：「The Gentlemen」ランサムウェア分析

✅ レポートの要約：

📌 「The Gentlemen」ランサムウェアとは

- 「The Gentlemen」ランサムウェアは、2025年7月に初めて確認されて以降、短期間で急速に影響力を拡大したグループです。

- PRODAFTによると、RaaSへ拡大する前に、Qilin、Embargo、LockBit、Medusa、BlackLockなど複数のRaaSプラットフォームを利用して経験を蓄積し、それを基に「The Gentlemen」プラットフォームを開発したと推定されています。

「The Gentlemen」のデータ漏洩サイト

📌 TTPs（戦術・技術・手順）

- レポートによると、「The Gentlemen」グループはFortiGateファイアウォールの認証バイパス脆弱性 CVE-2024-55591（Exploit Public-Facing Application, T1190）を悪用して初期侵入を実施し、その後、super-admin権限でファイアウォールを掌握し、バックドアアカウントを作成、システム設定ファイルを侵害し、SSLVPNを通じて永続的なアクセス経路を確保しました。

- 初期アクセス後、PowerShellリモートアクセス（PowerShell, T1059.001）が有効化され、NetExecを利用してSMB共有作成（SMB/Windows Admin Shares, T1021.002）、WinRMアクセス、NTLM Relay攻撃を通じた認証情報の収集が行われました。

- アカウント作成および永続化のため、「MicrosoftSupporte」という新しいドメインアカウントが作成され（Domain Account, T1136.002）、Domain AdminsグループおよびVeeam（Additional Local or Domain Groups, T1098.007）へ追加されたことで、バックアップインフラに対する管理権限が確保されたことが確認されています。

- 防御回避フェーズでは、レジストリ操作（Modify Registry, T1112）および（Disable or Modify Tools, T1562.001）を通じてAV/EDRが無効化されました。また、BYOVD（Bring Your Own Vulnerable Driver）技術を利用したカーネルレベルのEDRプロセス終了も確認されています。

📌 マルウェアと暗号化

- 「The Gentlemen」ランサムウェアは実行時、10個の実行引数のうち有効な引数を確認し、追加の悪意ある動作を実行します。

  - 「--system」または「--shares」の実行引数が指定された場合、親プロセスが終了し、新しい子プロセスが生成され、その後の悪意ある活動を実行します。

  - Windows Defenderの無効化、永続化維持のためのレジストリおよびスケジュールタスクの変更、プロセスとサービスの終了、痕跡削除などを実行します。

  - ファイル暗号化にはX25519 + XChaCha20アルゴリズムが使用され、暗号化されたファイルの末尾に81〜91バイトのメタデータが追加されます。

  - Linux版では、ファイル暗号化時にXChaCha20の代わりにChaCha20アルゴリズムが使用され、仮想マシンの一覧取得および終了、MOTDファイルの変更などが実行されます。

✅ 脅威検知の推奨事項と対策方法：

- 「The Gentlemen」グループは、攻撃プロセスにおいて脆弱性の悪用や複数のPowerShellベースのコマンド実行を特徴としているため、本レポートで提案されている対策を速やかに適用することを推奨します。

- 特に、Fortinetだけでなく、SonicWallやOracle EBSなど外部公開されたシステムも初期侵入の主要ターゲットとなっているため、内部ネットワークアクセス用VPNおよび外部公開資産のすべてにMFAを適用し、ブルートフォース攻撃に対するしきい値設定などの対策を実施することが重要です。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。