文章总结： Gentlemen勒索软件即服务(RaaS)自2025年中以来已造成超320名受害者，2026年发生240起攻击成为第二大活跃勒索组织。该组织利用VPN/防火墙漏洞入侵，数小时内加密整个网络，主要攻击制造业和科技行业，医疗行业成为第三目标。其采用90/10分成模式吸引经验丰富的攻击者，通过CobaltStrike、SystemBC等工具进行横向移动，使用组策略分发勒索软件。防御建议包括实施多因素认证、强化边界设备防护和及时修补漏洞。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,安全运营,解决方案

MITRE ATT&CK 矩阵

| 战术 | 技术/子技术 | 描述 | | — | — | — | | 初始访问 | 有效账户（T1078） | 攻击者已在域控制器上拥有 Domain Admin 权限并处于活跃状态； --spread "domain\\user:password" 利用窃取的域凭据进行远程执行和横向移动。 | | 初始访问 | 外部远程服务（T1133）  （推断） | 初始入侵未直接观察到；上下文表明可能通过暴露的远程服务（例如 RDP/VPN）进行入侵，但攻击活动的证据是在 DC 上遭到入侵后才开始的。 | | 执行 | 命令外壳（T1059.003） | 广泛 cmd.exe /C 使用 ：  systeminfo，，，，，，，，， 等等 。 whoami dir c:\\users  type \\\\host\\share\\file.txt``taskkill``gpupdate /force``net``rd | | 执行 | PowerShell ( T1059.001) | 通过 PowerShell 篡改 Defender 和更改防火墙；内部 HTTP 下载 grand.exe 到 ；使用 多步骤 PowerShell 脚本c:\\programdata\\r.exe进行广泛的基于脚本的横向移动 （ … ）。Invoke-Command``SCRIPT_A``SCRIPT_G | | 执行 | Windows 管理规范 ( T1047) | wmic /node:<target> process call create "<DEFENDER_SCRIPT_A>" 并 wmic ... "C:\\Temp\\<exe> <creds>" 执行远程主机上的脚本和锁定程序。 | | 执行 | 计划任务/作业：计划任务（T1053.005） | 创建本地和远程 任务 ：  ，，，，，，， 用于 UpdateSystem执行 和  持久 化 。 UpdateUser``DefU``DefS``UpdateGU``UpdateGU2``UpdateGS``UpdateGS2``schtasks /Create /S <target> ... /Run | | 执行 | 系统服务：服务执行（T1569.002） | 远程服务 DefSvc，  通过创建和启动  来  运行勒索软件或辅助脚本UpdateSvc。 UpdateSvc2``sc \\\\<target> create ...``sc \\\\<target> start ... | | 执行 | 原生 API ( T1106) | 使用 SystemParametersInfoW 设置 gentlemen.bmp 为壁纸；动态加载 和 mpr.dll 调用 WNetOpenEnumW，  枚举网络共享。WNetEnumResourceW``WNetCloseEnum | | 执行 | 用户执行：恶意文件（T1204.002） | 操作员驱动的在端点上执行勒索软件有效载荷（，，，  r.exeGPO 部署的锁定程序）作为入侵的最后阶段。g.exe``o.exe | | 持久性 | 计划任务/作业：计划任务（T1053.005） | 通过本地持久化 schtasks /Create /SC ONSTART /TN UpdateSystem /TR "<exe> <args>" /RU SYSTEM；在多个主机上执行远程任务，确保锁定器的重复执行和持久性。 | | 持久性 | 注册表运行项/启动文件夹（T1060） | 已添加运行键： reg add HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v GupdateU /t REG_SZ /d "<exe>" /f 用于在用户上下文中自动启动勒索软件。 | | 持久性 | 创建或修改系统进程：Windows 服务 ( T1543.003) | 在远程主机上创建新服务（DefSvc，，  UpdateSvc） UpdateSvc2以执行勒索软件或辅助逻辑，通常以 身份运行 SYSTEM。 | | 持久性 | 启动或登录自动启动执行：rc.local( T1547.009) | ESXi/Linux 变体将自身复制到 /bin/.vmware-authd 并配置 /etc/rc.local.d/local.sh 为 sleep 30 && /bin/.vmware-authd <original_argv> & 在启动时自动运行。 | | 持久性 | 计划任务/作业：Cron( T1053.003) | ESXi 变体 @reboot sleep 60 && /bin/.vmware-authd <original_argv> 通过 添加 cron 条目crontab -提供额外的启动持久性。 | | 持久性 | 启动或登录初始化脚本（T1037.004） | 结合使用 rc.local ( /etc/rc.local.d/local.sh) 和 cron @reboot 脚本可确保在 ESXi 主机重启后锁定程序重新启动。 | | 持久性 | 入口工具传输（T1105） | --gpo 部署模式将 Locker 复制到 GPO 路径\\\\<domain>\\NETLOGON\\<exe> 并注入 ScheduledTasks.xml 其中；然后所有域计算机通过 GPO 计划任务拉取并执行 Locker。 | | 权限提升 | 有效账户（T1078） | 使用 PsExec ( -u <domain\\user> -p <pass>) 窃取域管理员和其他域凭据--spread 来执行特权远程执行和横向移动。 | | 权限提升 | 计划任务/作业：计划任务（T1053.005） | 创建为以 SYSTEM ( /RU SYSTEM) 身份运行的任务（本地和通过 GPO）会将权限从用户提升到本地系统上下文，以实现文件加密和防御规避。 | | 权限提升 | 创建或修改系统进程：Windows 服务 ( T1543.003) | 攻击者创建配置为在远程主机上以高权限服务帐户（通常是 SYSTEM）运行的新服务，以执行勒索软件组件。 | | 防御闪避 | 削弱防御：禁用或修改工具（T1562.001） | Defender 已禁用并被削弱 ；已添加排除项， Set-MpPreference -DisableRealtimeMonitoring $true包括 C:\\、、 和勒索软件进程；这些操作通过脚本在本地和远程执行。C:\\Temp``\\\\<host>\\share$ | | 防御闪避 | 削弱防御：禁用或修改系统防火墙（T1562.004） | 全局防火墙已禁用：  netsh advfirewall set allprofiles state off，  Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False；防火墙服务 mpssvc 已停止并设置为禁用。 | | 防御闪避 | 削弱防御：禁用或修改云/网络安全（T1562.007） | 攻击者启用 SMB1（Enable-WindowsOptionalFeature ... SMB1Protocol），放宽 LSA 匿名访问（EveryoneIncludesAnonymous=1，  ），并使用 + RestrictAnonymous=0设置开放的网络共享 ，从而降低网络/分段保护。net share``icacls | | 防御闪避 | 主机上的指示器移除：清除 Windows 事件日志（T1070.001） | wevtutil cl System执行 wevtutil cl Application此 wevtutil cl Security 操作是为了删除 Windows 事件日志并阻碍取证重建。 | | 防御闪避 | 主机上的指示器移除：文件删除（T1070.004） | 已移除取证工件：预取（C:\\Windows\\Prefetch\\*.*）、Defender 日志（C:\\ProgramData\\Microsoft\\Windows Defender\\Support\\*.*）、RDP 日志（%SystemRoot%\\System32\\LogFiles\\RDP*\\*.*）， 以及通过 以 64 MB 块$Recycle.Bin覆盖可用空间 。wipefile.tmp | | 防御闪避 | 主机上的指示器移除：Timestomp ( T1070.006)  （隐式） | 报告注释 --silent 避免了文件重命名和时间戳更改；默认行为暗示会更改名称/时间戳，从而妨碍时间线重建和基于签名的检测。 | | 防御闪避 | 伪装：伪装任务或服务（T1036.004） | ESXi 锁定程序被放置在 /bin/.vmware-authd，伪装成合法的 VMware vmware-authd 守护程序。 | | 防御闪避 | 伪装：匹配合法名称或位置（T1036.005） | 勒索软件组件使用通用名称（r.exe，，  g.exe） o.exe和常见位置（C:\\ProgramData\\，， C:\\Temp\\管理员共享）来与正常工具和管理员活动混为一谈。 | | 防御闪避 | 隐藏工件：隐藏窗口/二进制（T1564.003） | ESXi 二进制文件使用前导点 .vmware-authd 来隐藏； --silent 在 Windows 系统上，该程序会避免显示壁纸和重命名等可见的 UI 更改，从而在后台静默运行勒索软件。 | | 防御闪避 | 混淆/加密工件（T1027） | 每个文件使用临时 X25519 密钥和 XChaCha20 加密，以及页脚标记（–eph–<base64\_ephemeral\_pubkey>–marker–GENTLEMEN\nGENTLEMEN[–fast） | | 凭证访问 | 操作系统凭证转储（T1003） | Mimikatz 从内存中恢复的痕迹显示，被入侵的工作站中泄露了域凭据和存储的密钥。 | | 凭证访问 | 来自密码存储的凭据（T1555） | Mimikatz 转储可能包含来自 Windows 凭据管理器/密码存储的密码，这些密码稍后将用于 --spread PsExec。 | | 发现 | 系统信息发现（T1082） | cmd.exe /C systeminfo 在被入侵的主机上运行，以收集操作系统和硬件信息。 | | 发现 | 账户发现（T1033） | cmd.exe /C whoami 在多个主机上确认身份和上下文。 | | 发现 | 账户发现：域账户（T1087.002） | net group "Domain Admins" /domain 并 net group "Enterprise Admins" /domain 执行以枚举域级特权组。 | | 发现 | 域信任发现（T1482） | nltest /domain_trusts（ nltest /dclist 隐含地）识别域信任关系和域控制器。 | | 发现 | 远程系统发现（T1018） | 通过枚举域计算机 Get-ADComputer -Filter *；在执行横向移动步骤之前，对每个主机进行 ping 以确认可达性。 | | 发现 | 权限组发现：域组（T1069.002） | net group "Domain Admins" /domain 以及类似的命令来发现特权组成员身份。 | | 发现 | 网络共享发现（T1135） | mpr.dll 动态加载；  ，， WNetOpenEnumW用于  在启用网络发现服务后枚举可用的网络共享。WNetEnumResourceW``WNetCloseEnum | | 发现 | 文件和目录发现（T1083） | cmd.exe /C dir c:\\users;通过UNC路径读取文件服务器上的内部文件（例如中文“公司主机记录.txt”）。 | | 发现 | 软件发现：安全软件发现（T1518.001） | wmic product where Name like '%kaspe%' get Name, IdentifyingNumber 执行此操作以识别已安装的卡巴斯基（或类似）安全产品。 | | 发现 | 网络服务扫描（T1046）  （部分推断） | 虽然没有显示明确的端口扫描，但在 ping 主机后通过 PsExec、WMI、远程服务和计划任务进行的大规模多协议横向尝试表明了服务可达性探测。 | | 横向移动 | 远程服务：SMB/Windows 管理共享（T1021.002） | 有效载荷减少到 \\\\<hostname>\\ADMIN$\\<random>.exe，  \\\\<target>\\C$\\Temp\\<exe>；创建了共享 share$=C:\\Temp ，并通过 ACL 扩大了范围 icacls ，以支持匿名/所有人访问。 | | 横向移动 | 远程服务：RPC（T1021.001） | Cobalt Strike 和后续勒索软件有效载荷在复制到管理员共享后，通过域控制器上的 RPC 执行。 | | 横向移动 | 远程服务与服务执行（T1021.001 +  T1569.002） | psexec \\\\<target> -accepteula -d -s/-h ... 用于远程执行，以及远程 sc create/sc start 运行服务 DefSvc，  UpdateSvc*。 | | 横向移动 | 远程服务：Windows 远程管理 ( T1021.006) | 使用PowerShell Invoke-Command -ComputerName <target> -ScriptBlock {...} 禁用 Defender、设置排除项以及在远程计算机上启动锁定程序。 | | 横向移动 | Windows 管理规范 ( T1047) | wmic /node:<target> process call create "<DEFENDER_SCRIPT_A>" 并 wmic /node:<target> process call create "C:\\Temp\\<exe> <creds>" 远程运行脚本和锁定程序。 | | 横向移动 | 计划任务/作业：计划任务（T1053.005） | 在多个主机上创建并使用 和 执行的  远程 计划任务（DefU，，，  DefS）  UpdateGU*。 UpdateGS*``/S <target>``/Run | | 横向移动 | 横向工具转移（T1570） | 储物柜已复制 xcopy "<exe>" "\\\\<target>\\C$\\Temp\\" /Y /I /C /H /R /K ，并可通过远程系统访问 \\\\<host>\\share$\\<exe> 。 | | 横向移动 | 远程服务：RDP（T1021.001） | 通过防火墙规则启用“远程桌面”组，从而启用 RDP 访问 reg add ...\\Terminal Server /v fDenyTSConnections /d 0 /f ，支持交互式横向移动。 | | 横向移动 | 入口工具传输（T1105） | DC 上的内部 HTTP 服务器 grand.exe 在 8080 端口上提供服务，通过 PowerShell downloadfile(...) 获取 c:\\programdata\\r.exe。 | | 指挥与控制 | 代理：多跳代理（T1090.003） | SystemBC （socks.exe）已部署；尝试向 C2 发送出站 45.86.230[.]112请求；充当 C2 隧道和枢轴的加密 SOCKS 代理。 | | 指挥与控制 | 入口工具传输（T1105） | Cobalt Strike 有效载荷和勒索软件组件通过 HTTP、SMB（ADMIN$，  C$）和 NETLOGON 共享传输，作为 C2 和暂存的一部分。 | | 指挥与控制 | 应用层协议：Web 协议（T1071.001） | Cobalt Strike 信标从 rundll32.exe 使用 91.107.247[.]163 端口 443 和后来的 80 （HTTPS/HTTP）。 | | 指挥与控制 | 加密通道：非对称加密（T1573.002） | Cobalt Strike 使用加密的 HTTPS； SystemBC 使用 RC4 加密的 SOCKS 隧道；两者都提供加密的 C2 通道。 | | 渗漏 | 通过 C2 通道渗漏 ( T1041) | 勒索信声称“我们已经窃取了您所有的机密和业务数据（包括 NAS、云等）”；虽然没有显示详细信息，但暗示数据是通过 C2/远程访问工具（Cobalt Strike、SystemBC、AnyDesk）窃取的。 | | 冲击（勒索） | 勒索中的数据销毁（T1654） | 如果受害者试图恢复数据或拒绝谈判，就会受到“所有数据和网络将被不可逆转地擦除”的威胁，同时还会定时在泄露网站上发布相关信息。 | | 冲击（勒索） | 金融盗窃/勒索（T1657） | 经典的双重勒索：要求支付解密费用并防止公开泄露；使用 Tox ID、Session、Tor 博客 tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion和 X 帐户 TheGentlemen25。 | | 影响 | 数据加密以产生影响（T1486） | 多操作系统加密存储（Windows/Linux/ESXi）；对于大型文件，仅使用 XChaCha20 加密 1-9%（取决于 --fast/ --superfast/ ）；每个文件的页脚包含.--ultrafast``--eph--<base64>--marker--GENTLEMEN\\nGENTLEMEN[...]-- | | 影响 | 抑制系统恢复（T1490） | vssadmin delete shadows /all /quiet 通过和 删除卷影副本 wmic shadowcopy delete； $Recycle.Bin 已删除；日志和预取已删除；可选 --wipe 模式使用 覆盖可用空间 wipefile.tmp。 | | 影响 | 服务停止（T1489） | 服务（包括防火墙 mpssvc 和可能的防病毒/备份服务）已通过以下方式停止和 sc stop <service> 禁用 sc config <service> start=disabled： | | 影响 | 污损：内部污损（T1491.001） | 桌面背景被更改为嵌入式 gentlemen.bmp 写入 %TEMP% 并通过应用 SystemParametersInfoW，向受害者发出入侵信号。 |

谁会受到打击

“绅士帮”的攻击大多是机会主义的，而非有针对性的。他们会寻找那些拥有暴露且易受攻击的互联网基础设施（例如：VPN、远程访问网关、防火墙管理门户）的组织，并利用这些基础设施作为攻击入口。

制造业和科技公司是最大的受害者群体，这与勒索软件攻击的整体趋势相符。更值得注意的是，医疗保健行业是第三大攻击目标。一些勒索软件组织出于非正式的策略或自保考虑，会避免攻击医院。“绅士帮”似乎并没有遵守这一限制。

从地域上看，美国是受害者人数最多的国家，英国和德国的受害者人数也相当可观。CPR从该组织的公开泄露网站以及从关联攻击者的服务器上获取的独立遥测数据证实了这一模式。

CPR在攻击者的服务器上发现了什么

在一次事件响应过程中，Check Point Research 的调查人员发现，Gentlemen 的一个关联组织部署的基础设施与一个规模远超单一事件所暗示的庞大行动相连。通过访问相关的指挥控制服务器，研究人员得以观察到一个由超过 1570 家疑似受害企业组成的僵尸网络。这些企业的系统已被悄然入侵，正等待着进一步的行动。

这个数字意义重大，原因有二。首先，它超过了该组织公开宣称的受害者人数，表明其活动的实际规模远大于其泄露网站上所显示的。其次，受害者的特征（企业系统、已加入域的机器、企业凭证）证实，这并非针对普通消费者的机会主义攻击。这些都是企业机构，而且他们的数据很可能早已被准备好用于数据窃取。

速度是决定性特征

在CPR响应的这起事件中，攻击者已获得域级管理权限。此后，入侵迅速升级：在整个环境中进行凭证验证，横向移动到数十台主机，禁用安全工具，最终通过组策略触发域级勒索软件部署，同时攻击所有连接的计算机。

此次攻击的速度和协调性表明，该组织已经对其行动方案进行了完善。其成员并非即兴发挥，而是在执行一套经过验证、有据可查的流程，旨在防御方做出反应之前最大限度地扩大攻击效果。

应该做什么

这些攻击者并非利用新型零日漏洞或通过奇特手段绕过安全防护。他们最初的入侵主要依赖于未打补丁或配置错误的联网设备。而这些漏洞正是多年来安全人员一直被建议优先防范的。

基本面仍然是最重要的防御性投资：

• 首先要修补面向互联网的基础设施：  VPN、防火墙和远程访问网关是主要入口点。必须像对待面向公众的 Web 应用程序一样，优先处理这些设备。

• 假设凭证泄露： 绅士帮成员会迅速从初始访问权限升级到域级控制。多因素身份验证和特权访问控制是不可或缺的。

• 测试备份和恢复能力：一个功能完善且相互隔离的备份是限制勒索软件影响的最有效工具。许多组织在遭受攻击后才发现其备份策略不足，而不是事先预防。

• 不仅要监控边界突破，还要监控横向移动： 勒索软件引爆时，攻击者通常已经潜伏了一段时间。在横向移动阶段进行检测，是阻止正在进行的攻击的最佳时机。

• 网络分段： 通过组策略实现域级加密只有在攻击者拥有域控制器访问权限并能访问所有端点时才可行。网络分段可以限制攻击者的访问范围以及成功入侵后的影响半径。

“绅士帮”的崛起揭示了勒索软件领域面临的结构性挑战：建立专业勒索软件即服务（RaaS）运营的门槛已大幅降低。极具吸引力的收入分成、功能强大的加密存储系统以及泄露网站足以吸引那些拥有自身权限和专业知识的合作伙伴。即使技术上并不突破性，该运营也无需具备大规模破坏力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Gentlemen:一种新型勒索软件威胁正迅速攀升至排行榜榜首》