✅ 보고서 제목: 젠틀맨(The Gentlemen) 랜섬웨어 상세 분석 보고서
✅ 보고서 요약:
📌 젠틀맨(The Gentlemen) 랜섬웨어의 주요 특징
- The Gentlemen 랜섬웨어는 2025년 7월 처음 등장한 이후 단기간 내 빠르게 세력을 확장하고 있는 그룹입니다.
- PRODAFT에 따르면 RaaS로 확장하기 전, Qilin, Embargo, LockBit, Medusa, BlackLock과 같은 여러 RaaS 플랫폼을 활용하며 경험을 축적하고 이를 기반으로 The Gentlemen 플랫폼을 개발한 것으로 추정됩니다.
The Gentlemen의 Data Leak Site (DLS)
📌 The Gentlemen 랜섬웨어 그룹의 전술·기법·절차(TTPs)
- The Gentlemen 그룹은 FortiGate 방화벽의 인증 우회 취약점인 CVE-2024-55591(Exploit Public-Facing Application, T1190)을 악용하여 초기 침투를 수행하였으며, super-admin 권한으로 방화벽을 장악한 뒤 백도어 계정 생성, 시스템 설정 파일 탈취, SSLVPN을 통한 지속 접근 경로 확보 등을 수행하였습니다.
- 초기 접근 이후에는 PowerShell 원격 접속을 활성화(PowerShell, T1059.001)하고 NetExec를 활용하여 SMB 공유 생성(SMB/Windows Admin Shares, T1021.002), WinRM 접근, NTLM Relay 공격 등을 통해 자격증명을 수집하였습니다.
- 이후 계정 생성 및 권한 유지를 위해 "MicrosoftSupporte"라는 신규 도메인 계정을 생성(Domain Account, T1136.002)하고 도메인 관리자 그룹 및 Veeam에 추가(Additional Local or Domain Groups, T1098.007)하여 백업 인프라에 대한 관리 권한을 확보한 것으로 확인되었습니다.
- 방어 회피 단계에서는 레지스트리 조작(Modify Registry, T1112)을 통한 AV/EDR 비활성화(Disable or Modify Tools, T1562.001)와 BYOVD(Bring Your Own Vulnerable Driver) 기법을 통한 커널 수준 EDR 프로세스 종료가 확인되었습니다.
📌 The Gentlemen 랜섬웨어가 사용하는 악성코드 및 암호화 방식
- The Gentlemen 랜섬웨어는 실행 시, 10개의 실행 인자 중 활성화된 실행 인자를 확인하고 추가 악성 행위를 수행합니다.
- "--system", "--shares" 실행 인자가 주어질 경우 부모 프로세스는 종료하고 자식 프로세스를 새로 생성하여 이후 악성 행위를 수행합니다.
- Windows Defender 비활성화, 레지스트리 변경 및 예약된 작업을 통한 지속성 확보, 프로세스 및 서비스 종료, 아티팩트 삭제 행위를 수행합니다.
- 파일 암호화는 X25519 + XChaCha20 알고리즘으로 진행되며, 암호화된 파일의 끝에 81 ~ 91 Bytes의 메타데이터를 추가합니다.
- Linux 버전의 경우 파일 암호화 과정에서 XChaCha20이 아닌 ChaCha20 알고리즘을 사용하며, 가상 머신 나열 및 종료, MOTD 파일 변경 등과 같은 행위를 수행합니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- The Gentlemen 그룹은 공격 과정에서, 취약점 악용, PowerShell 기반 다수의 명령어를 수행하는 특징이 존재하므로 본 보고서에서 제안하는 대응 방안을 즉시 적용하는 것이 권고됩니다.
- 특히, Fortinet 뿐만 아니라, SonicWall, Oracle EBS 등 외부에 노출된 시스템이 초기 침투의 주요 대상이 되므로, 내부망 접속을 위한 모든 VPN 및 외부 노출 자산에 대한 MFA를 필수로 적용하고 무차별 대입 공격에 대한 임계치 설정과 같은 대응 방안이 필수로 이행되어야 합니다.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.