Ransomwaregroep The Gentlemen breidt activiteiten uit
De ransomwaregroep The Gentlemen heeft haar tactieken uitgebreid met nieuwe, op maat gemaakte tools, blijkt uit onderzoek van Kaspersky GReAT (Global Research and Analysis Team). Hiertoe behoren een backdoor voor het verzamelen van informatie voordat ransomware wordt geïnstalleerd en het behouden van controle over gecompromitteerde systemen, evenals een uitvoerbaar ransomwarebestand. De groep is wereldwijd actief en richt zich op sectoren als productie, IT-diensten, gezondheidszorg, financiële dienstverlening, bouw en logistiek.
The Gentlemen is een snelgroeiende Ransomware-as-a-Service (RaaS)-operatie die naar schatting medio 2025 is opgekomen. De groep en haar partners verkrijgen aanvankelijk toegang tot slachtoffersystemen door het uitbuiten van internetgerichte diensten en gecompromitteerde inloggegevens. Volgens Kaspersky werkt de groep in sommige gevallen ook samen met Initial Access Brokers (IAB’s) om toegang te verkrijgen tot organisaties met waardevol intellectueel eigendom. Uit het onderzoek blijkt dat toegang tot sommige slachtoffersystemen al lang voor de ransomware-infectie plaatsvond, en soms werd verkregen via technieken die de groep normaal niet gebruikt. Dit suggereert dat de initiële toegang niet door The Gentlemen zelf is verkregen, maar mogelijk door een andere dreigingsactor, zoals een IAB.
Verfijnde technieken
In tegenstelling tot veel andere RaaS-groepen toont The Gentlemen een hoog niveau van verfijning door gebruik te maken van op maat gemaakte tools en flexibele infiltratietactieken. Onderzoekers van Kaspersky ontdekten een tot nu toe onbekende, in Go geschreven backdoor die door de aanvallers één dag voor de uitvoering van de ransomware werd geïnstalleerd. Deze backdoor verzamelt informatie over de host en het netwerk en verbergt het consolevenster om detectie te ontwijken. De mogelijkheden omvatten tweerichtingscommunicatie met de aanvallers, servergestuurde opdrachtuitvoering en verkenning, waardoor aanvallers hun activiteiten binnen een gecompromitteerd systeem kunnen uitbreiden en aanpassen.
Daarnaast wijst Kaspersky op een nieuwe ransomwarevariant geschreven in C, die een beperkt aantal bedrijfsslachtoffers heeft getroffen. Hoewel The Gentlemen tot nu toe vooral een in Go geschreven ransomware-implant gebruikte die bedoeld was voor cross-platform toepassing, lijkt de nieuwe C-gebaseerde variant gericht op Windows.
Opvallend is dat The Gentlemen tijdens haar aanvallen poogde de Kaspersky-beveiligingsoplossing te verwijderen met behulp van kavrmvr.exe, een tool die bedoeld is om Kaspersky-producten te verwijderen. De Kaspersky-oplossing bleef echter actief en de actie van de aanvallers werd geblokkeerd en als kwaadaardig gemarkeerd.
'Bouwt snel een reputatie op'
"Ondanks dat The Gentlemen een relatief nieuwe speler is in het ransomware-dreigingslandschap, bouwt de groep snel een reputatie op onder dreigingsactoren, trekt ze partners aan en voert ze opvallende aanvallen uit. Het testen van nieuwe, op C gebaseerde ransomwarevarianten wijst erop dat de groep actief haar mogelijkheden verfijnt, wat in de nabije toekomst kan leiden tot stabielere en schaalbaardere aanvalsketens. Organisaties moeten rekening houden met verdere kwaadaardige ransomwareactiviteiten en wordt aangeraden om kwetsbaarheidsbeheer en systeemverharding prioriteit te geven om het risico op compromittering te verkleinen”, aldus Fatih Sensoy, beveiligingsexpert bij Kaspersky GReAT.
Op Internationale Anti-Ransomware Dag, 12 mei, deelde Kaspersky een rapport met een overzicht van recente ransomwaretrends. Volgens het Kaspersky Security Network had Latijns-Amerika in 2025 het hoogste aandeel organisaties waar ransomware-aanvallen werden gedetecteerd (8,13%), gevolgd door de regio Azië-Pacific (7,89%), Afrika (7,62%), het Midden-Oosten (7,27%), de GOS-landen (5,91%) en Europa (3,82%).
Maatregelen
Kaspersky adviseert organisaties om de volgende maatregelen te nemen om zich te beschermen tegen ransomware:
- Houd software op alle gebruikte apparaten altijd up-to-date om te voorkomen dat aanvallers kwetsbaarheden uitbuiten en uw netwerk infiltreren.
- Richt uw verdedigingsstrategie op het detecteren van laterale bewegingen en datalekken naar het internet.
- Besteed extra aandacht aan uitgaand verkeer om verbindingen van cybercriminalen met uw netwerk op te sporen.
- Maak offline back-ups die indringers niet kunnen wijzigen. Zorg ervoor dat u deze snel kunt raadplegen als dat nodig is of in noodgevallen.
Bedrijven kunnen zich beschermen door anti-APT- en EDR-oplossingen te installeren die mogelijkheden bieden voor geavanceerde dreigingsdetectie, onderzoek en tijdige afhandeling van incidenten. Organisaties kunnen hun SOC-teams ook toegang geven tot de nieuwste dreigingsinformatie en deze regelmatig bijscholen met professionele trainingen. Al deze mogelijkheden zijn beschikbaar binnen Kaspersky Next, meldt Kaspersky.
Meer informatie is hier beschikbaar.