Skip to content

Gentlemen-lunavara paneb proovile identiteedi- ja taastekontrollid

Lühidalt: Pärast esmast sissemurdmist kasutab Gentlemen ekspluatide asemel kompromiteeritud identiteete ja usaldusväärseid administreerimistööriistu – seetõttu tuleb privileegide ja võrgusegmenteerimise kontrolle testida, mitte ainult juurutada.

Gentlemen-lunavara toob esile paljude CISOde peamise probleemi: rünnakute peatamise pärast esmast sissetungi. Pahavara kasutab võrgus levimiseks legitiimseid Windowsi haldustööriistu ning püüab samal ajal nõrgestada turva- ja taastesüsteeme.

Picus Security aruanne kirjeldab, kuidas Go keeles kirjutatud ja Garble abil varjatud pahavara levib iseseisvalt, väärkasutab usaldusväärseid administreerimistööriistu ning püüab enne krüptimise algust nõrgestada taastesüsteeme. Rühmitus tegutses 2025. aasta keskel esialgu suletud operatsioonina, hakkas alates 2025. aasta septembrist pakkuma oma platvormi partneritele ning on juba rünnanud organisatsioone haridus-, transpordi-, tervishoiu- ja finantsteenuste sektoris mitmel mandril.

Kõige kriitilisem tunnusjoon on iselevimise võime: pahavara suudab loetleda kättesaadavad süsteemid, levitada oma binaarfaili SMB-jagude kaudu ning proovida iga sihtmärgi vastu kuni 21 erinevat kaugkäivitusmeetodit – sealhulgas PsExeci, WMIC-i, ajastatud ülesandeid, Windowsi teenuseid, PowerShelli kaugjuhtimist ja WMI protsessiloomet. See mitmekesisus suurendab võrgus leviku õnnestumise tõenäosust. Enne krüptimist lülitab Gentlemen välja Microsoft Defenderi, kustutab varikoopiad, eemaldab kohtuekspertiisi jälgi ning peatab andmebaaside, varundustööriistade, lõpp-punkti kaitse ja virtualiseerimisplatvormide teenused – taktika, mis muudab taastamise oluliselt keerulisemaks.

Sakshi Grover’i (IDC Asia/Pacific) analüüsi kohaselt seisneb peamine erinevus pahavara keerukusele keskendumisest selles, et ründajad kasutavad pärast esmast sissetungi eelkõige ära kompromiteeritud identiteete ja liigseid õigusi. See tähendab CISOde jaoks, et lunavaratõrjet ei saa hinnata üksnes esmase kompromiteerimise blokeerimise järgi. Organisatsioonid peavad piirama, kui laialt saavad ründajad võrgus levida.

Grover soovitab alustada privilegeeritud kontode tugevamast kontrollist – sealhulgas andmepüügikindlast mitmeastmelisest autentimisest ja rangematest juurdepääsupoliitikatest kriitiliste süsteemide osas. Identiteedihaldus ja võrgusegmenteerimine peaksid seejärel vähendama võimalike ründeteede arvu. Otsustava tähtsusega on, et need kontrollid tuleb valideerida vastase tegevuse jäljendamise ja ründeteede testimise abil, mitte üksnes dokumenteerida.

Krüptimisel kasutatakse hübriidset lähenemist Curve25519 ja XChaCha20 abil, kusjuures igal failil on unikaalne võti. Picuse analüüsitud näidises said failid laiendi .umc16h, samas kui teised uurijad on eraldi kampaaniate raames täheldanud teistsuguseid laiendeid. Rühmitus kasutab lisaks topeltväljapressimise taktikat ja ähvardab lekitada andmeid, kui lunaraha ei maksta.


Allikas: www.csoonline.com · Avaldatud 7. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.

Share on: