Le ransomware The Gentlemen met en évidence un défi auquel sont confrontés de nombreux RSSI : arrêter les attaquants après qu’ils ont pris pied dans le système. Selon les chercheurs, ce logiciel malveillant peut se propager sur les réseaux d’entreprise à l’aide d’outils de gestion Windows officiels, tout en tentant simultanément d’affaiblir les systèmes de sécurité et de restauration. Un rapport de Picus Security montre que ce malware combine l’auto-propagation avec l’utilisation abusive d’outils d’administration de confiance et tente de compromettre les systèmes de restauration avant même que le chiffrement ne commence.
Ce rapport fait suite à une analyse technique du ransomware publiée par Microsoft Threat Intelligence fin mai. The Gentlemen est une opération de rançongiciel en tant que service (RaaS) écrite en Go et masquée avec Garble. Le groupe a fait son apparition vers le milieu de l’année 2025 en menant une opération de double extorsion qui chiffrait les données des victimes et siphonnait des informations sensibles, et il a commencé à proposer sa plateforme à des affiliés en septembre 2025.
Des techniques d’affaiblissement multiples
Le rapport de Picus se concentre sur un programme de chiffrement ciblant Windows, mais d’autres chercheurs ont signalé l’existence d’une gamme plus large d’outils Gentlemen destinés aux environnements Linux et VMware ESXi. Le groupe a été observé lors d’attaques contre des organisations des secteurs de l’éducation, des transports, de la santé et des services financiers en Amérique du Nord, en Amérique du Sud, en Europe, en Afrique et en Asie. Sa capacité d’auto-propagation constitue la caractéristique la plus importante pour les RSSI. Lorsqu’elle est activée, le malware peut recenser les systèmes accessibles, déployer son fichier binaire via un partage SMB et tenter jusqu’à 21 opérations d’exécution à distance contre chaque cible. Ces méthodes comprennent PsExec, WMIC, les tâches planifiées, les services Windows, l’exécution à distance via PowerShell et la création de processus via Windows Management Instrumentation (WMI). Cette redondance vise à augmenter les chances qu’au moins une méthode aboutisse, de façon à ce que le logiciel malveillant puisse continuer à se propager sur le réseau.
Avant le chiffrement, The Gentlemen tente d’affaiblir l’environnement de la victime en désactivant Microsoft Defender, en supprimant les snapshots et en effaçant les traces d’analyse. Il arrête également les services liés aux bases de données, aux outils de sauvegarde, à la protection des terminaux et aux plateformes de virtualisation, une tactique qui peut compliquer la restauration une fois le chiffrement lancé. « Le chiffreur utilise un schéma de chiffrement hybride combinant Curve25519 et XChaCha20, avec des clés uniques pour chaque fichier », a indiqué Picus. Dans l’échantillon cité par Picus, les fichiers chiffrés portaient l’extension .umc16h, bien que d’autres chercheurs aient observé des extensions différentes dans d’autres campagnes menées par « The Gentlemen ». Le groupe recourt aussi à des tactiques de double extorsion, menaçant de divulguer les données volées si les victimes ne paient pas.
Mouvement latéral et risques liés à l’identité
« Une fois que les attaquants ont pris pied dans un système, les identités compromises et les privilèges excessifs revêtent souvent plus d’importance que le logiciel malveillant lui-même », a expliqué Sakshi Grover, responsable senior de la recherche pour les services de cybersécurité chez IDC Asie-Pacifique. « L’attaque The Gentlemen confirme une tendance observée par IDC dans les opérations modernes de rançongiciel : les attaquants exploitent de plus en plus des outils d’administration de confiance, des identités compromises et des privilèges excessifs, plutôt que de s’appuyer uniquement sur des logiciels malveillants sophistiqués ou des exploits zero-day », a déclaré Mme Grover. Pour les RSSI, cela signifie que l’efficacité de la défense contre les rançongiciels ne peut pas être évaluée exclusivement en fonction du blocage de la compromission initiale. Les entreprises doivent également limiter la portée des actions qu’un attaquant peut mener une fois qu’il est infiltré dans le réseau.
Mme Grover conseille aux responsables de la sécurité de commencer par mettre en place des contrôles plus stricts autour des comptes à privilèges, notamment une authentification multifactorielle (MFA) résistante au phishing et des restrictions plus strictes concernant les personnes autorisées à accéder aux systèmes critiques. La gouvernance des identités et la segmentation du réseau devraient ensuite être utilisées pour réduire le nombre de chemins qu’un attaquant peut emprunter une fois à l’intérieur de l’environnement. Ces contrôles doivent être testés par le biais d’une simulation d’attaquant et de tests de voies d’attaque, et ne pas être considérés comme efficaces simplement parce qu’ils existent sur le papier.
Sauvegardes et outils de protection des terminaux
Selon les analystes, la tentative des ransomwares de type Gentlemen de compromettre les outils de sécurité et de restauration met en évidence une faiblesse courante dans la planification des entreprises face aux rançongiciels. « De nombreuses entreprises considèrent encore que le déploiement de plateformes de sauvegarde ou de solutions de détection au niveau des terminaux équivaut à une résilience face aux ransomwares », a fait remarquer Mme Grover. « Or, les ransomwares sophistiqués ciblent de plus en plus ces capacités mêmes avant même que le chiffrement ne commence. » Celle-ci ajoute que les RSSI devraient vérifier si les systèmes de restauration restent utilisables pendant une attaque en cours, y compris les sauvegardes censées être immuables et les outils de protection des terminaux protégés contre toute altération. Ces exercices devraient également tenir compte de la possibilité qu'Active Directory ou les principales consoles de gestion de la sécurité soient indisponibles.
Devashri Datta, chercheuse en cybersécurité, estime pour sa part que l’hypothèse la plus dangereuse est de croire que le simple fait de disposer de sauvegardes suffit pour se remettre d’une attaque par ransomware. « Si les sauvegardes se trouvent sur le même réseau plat ou dépendent des mêmes identifiants Active Directory compromis, elles ne constituent pas un atout de restauration : elles font partie de la surface d’attaque », a-t-elle déclaré. Mme Datta a par ailleurs souligné la dépendance excessive vis-à-vis des outils de détection et de réponse au niveau des terminaux (EDR). Les chercheurs d’Eset ont établi un lien entre le groupe The Gentlemen et un ensemble d’outils sophistiqués destinés à contourner les EDR, comprenant notamment des variantes qui exploitent des pilotes vulnérables pour perturber le fonctionnement des logiciels de sécurité.
Un problème de résilience opérationnelle
Le modèle de ce groupe reflète l’industrialisation continue du « ransomware-as-a-service », un framework qui, selon Mme Datta, réduit la barrière technique pour les affiliés en associant le chiffrement à des couches standardisées d’évasion et de propagation. Pour les RSSI, la question n’est pas de savoir si des outils de sauvegarde et de protection des terminaux sont en place, mais s’ils continuent de fonctionner une fois que les attaquants ont obtenu un accès administrateur.
Mme Datta a indiqué que les entreprises devaient évaluer leur vulnérabilité au niveau de l’infrastructure d’identité, d’Active Directory, des services cloud et des environnements de sauvegarde. « La priorité est de réduire les voies d’accès dont disposent les attaquants et de démontrer, par le biais d’exercices réguliers de résilience, que l’entreprise est capable de contenir une intrusion avant qu’elle ne se transforme en une panne à grande échelle », a-t-elle précisé.

Commentaire