Купон на скидку: 2026
Эксперты глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) выявили новые инструменты собственной разработки у группы вымогателей Gentlemen, атакующей организации по всему миру. Жертвами становятся компании из производственного сектора, ИТ, здравоохранения, финансов, строительства и логистики. Группа функционирует по модели «программа-вымогатель как услуга» (RaaS) и, предположительно, начала свою деятельность в середине 2025 года.
Первоначальный доступ к целевым системам Gentlemen и её партнёры обычно получают через эксплуатацию уязвимых интернет-сервисов и компрометацию учётных данных. Аналитики не исключают сотрудничества с брокерами начального доступа (IAB). В пользу этой версии говорит тот факт, что к ряду систем злоумышленники проникли задолго до запуска шифровальщика и с использованием методов, нехарактерных для самой группы. Это может указывать на то, что изначально доступ был получен иной группировкой.
Исследователи обнаружили ранее неизвестный бэкдор, написанный на языке Go, который атакующие развернули за сутки до запуска основного вредоносного агента. Бэкдор собирает информацию о хосте и сети, поддерживает двунаправленную связь с сервером управления, выполняет команды и ведёт разведку в скомпрометированной среде. Эти возможности позволяют гибко расширять и адаптировать атаку. Кроме того, выявлен новый вариант программы-вымогателя, написанный на языке C, который поразил ряд жертв. В отличие от кросс-платформенных образцов на Go, которые группа использует в большинстве атак, C-вариант ориентирован исключительно на Windows. По мнению специалистов, злоумышленники тестируют это вредоносное ПО в реальных средах, стремясь расширить технический арсенал.
В ходе атак предпринимались попытки удалить защитное решение «Лаборатории Касперского» с помощью специальной утилиты. Однако защита осталась активной, действия атакующих были остановлены и классифицированы как вредоносные. «Несмотря на недавнее появление, группа Gentlemen быстро завоёвывает репутацию, привлекает партнёров и осуществляет громкие атаки. Тестирование новых C-вариантов свидетельствует об активном совершенствовании возможностей. В ближайшем будущем это может привести к более стабильным и масштабируемым цепочкам атак», — отметил Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.
Для защиты от программ-вымогателей «Лаборатория Касперского» рекомендует организациям принять следующие меры: — регулярно обновлять программное обеспечение на всех устройствах, чтобы предотвратить эксплуатацию уязвимостей; — сфокусировать стратегию защиты на обнаружении перемещений внутри сети и утечки данных наружу; — уделять особое внимание исходящему трафику для выявления подключений злоумышленников; — настроить offline-резервное копирование, недоступное для модификации атакующими, и обеспечить быстрый доступ к резервным копиям в экстренной ситуации; — использовать комплексные платформы кибербезопасности уровня XDR, такие как Kaspersky Symphony XDR, объединяющие централизованный мониторинг, продвинутое обнаружение угроз, реагирование и исследование инцидентов. Это решение подходит для среднего и крупного бизнеса любых отраслей.