【概要】
| 項目 |
内容 |
|---|---|
| 組織名 | The Gentleman / Gentleman |
| 活動開始時期 | 2025年7月~8月頃 (本格的な活動を開始) |
| 攻撃対象地域 | 世界17カ国以上(APAC、北米、南米、中東など広範囲) |
| 標的業種 | 製造、建設、医療、保険業界など |
| 攻撃手法 | 二重恐喝 |
| 言語 | Go言語 |
| 初期侵入 | 脆弱性の悪用 (FortiGate VPN機器の脆弱性が多い) 認証情報の悪用 |
| 実行・持続化 | パスワード保護されたバイナリ (解析(サンドボックス)を回避するため) LotL (PowerRun / PsExec, AnyDesk, Nmap / Advanced IP Scanner) GPO悪用 |
| 防御回避 | セキュリティ製品の無効化 (カスタムツール, Windows DefenderやEDR製品を強制終了) ログの消去 (wevtutil cl Security, vssadmin delete shadows /all /quiet) |
| 暗号化 | アルゴリズム: XChaCha20 (ストリーム暗号) と Curve25519 (鍵交換) の組み合わせ ファイルサイズによる挙動切り替え(小容量(<1MB): 全体を暗号, 大容量: 断片ごとに部分的に暗号化) 拡張子: .7mtzhh |
| 脅迫文 | README-GENTLEMEN.txt (各ディレクトリに設置) |
【ニュース】
■2025年
◇2025年12月
◆Romania’s Oltenia Energy Complex suffers major ransomware attack (Security Affairs, 2025/12/29)
[ルーマニアのオルテニアエネルギーコンプレックスが大規模なランサムウェア攻撃を受ける]
https://securityaffairs.com/186290/cyber-crime/romanias-oltenia-energy-complex-suffers-major-ransomware-attack.html
⇒ https://incidents.hatenablog.com/entry/2025/12/29/000000 (TT Incident Log)
【ブログ】
■2025年
◇2025年9月
◆The Gentlemenランサムウェア検知:グループポリシーを悪用し高度なツールを用いる新たな攻撃キャンペーンが重要組織を標的に (SoC Prime, 2025/09/11)
https://socprime.com/ja/blog/the-gentlemen-ransomware-detection/
⇒ https://malware-log.hatenablog.com/entry/2025/09/11/000000_4
◆The Gentlemenランサムウェア攻撃の実態:戦術・手法・手順の全容を解説 (Trendmicro, 2025/09/25)
https://www.trendmicro.com/ja_jp/research/25/i/unmasking-the-gentlemen-ransomware.html
⇒ https://malware-log.hatenablog.com/entry/2025/09/25/000000_7
◇2025年12月
◆Threats Behind the Mask of Gentlemen Ransomware (Ahnlab, 2025/12/11)
[Gentlemen Ransomware の仮面の裏に潜む脅威]
https://asec.ahnlab.com/en/91545/
【検索】
google: Gentlemen (Ransomware OR ランサムウェア)
google:news: Gentlemen (Ransomware OR ランサムウェア)
google: site:virustotal.com Gentlemen (Ransomware OR ランサムウェア)
google: site:github.com Gentlemen (Ransomware OR ランサムウェア)
■Bing
https://www.bing.com/search?q=Gentlemen%20(Ransomware%20OR%20ランサムウェア)
https://www.bing.com/news/search?q=Gentlemen%20(Ransomware%20OR%20ランサムウェア)
https://twitter.com/search?q=%23Gentlemen%20(Ransomware%20OR%20ランサムウェア)
https://twitter.com/hashtag/Gentlemen%20(Ransomware%20OR%20ランサムウェア)
■VirusTotal
【関連まとめ記事】
◆サイバー犯罪組織 (まとめ)
https://malware-log.hatenablog.com/entry/Cybercriminal_Group
