這篇文章將帶領大家分析近期備受關注的 The Gentlemen 勒索軟體組織。對於剛接觸資安的工程師來說,這不僅是一個單一的病毒分析,而是一個典型的現代網路犯罪商業模式演進案例。
從 RaaS 模式演進到獨立運作
在進入技術細節前,我們需要理解 RaaS(Ransomware-as-a-Service,勒索軟體即服務)。這是一種犯罪分工模式:開發者負責寫程式(Operator),而加盟者(Affiliate)負責尋找漏洞並入侵企業內部網路。
The Gentlemen 的領導者 LARVA-368 最初也是一名加盟者,曾依附於 LockBit、Qilin 和 Medusa 等知名 RaaS 組織。然而,在 2025 年間,由於與 Qilin 發生金錢糾紛(指控對方進行 Exit Scam,即平台營運者捲款潛逃),LARVA-368 決定獨立,將其團隊重新命名為 The Gentlemen,建立自己的獨立夥伴計畫。
這種轉型顯示了犯罪組織的專業化:他們不再只是使用別人的工具,而是利用 AI 輔助開發自己的勒索軟體,並提供極具競爭力的分潤比例(加盟者拿 90%,營運者僅拿 10%)來吸引更多高手加入。
高度自動化的入侵與擴散路徑
The Gentlemen 的危險之處在於其極高的適應力與擴散速度。他們的攻擊鏈通常遵循以下路徑:
初始進入點:他們專注於攻擊面向網路的邊緣設備(Edge Devices),例如 Cisco 或 Fortinet FortiGate 的 VPN 設備與防火牆。只要這些設備有未修補的漏洞或憑證外洩,他們就能進入內網。
內網橫移與權限提升:進入後,他們會使用紅隊工具(Red Team Utilities)如 NetExec 或 CertiHound 進行 Active Directory(AD,Windows 網域管理服務)的偵查,尋找高權限帳號並奪取控制權。
防禦規避:為了對抗 EDR(Endpoint Detection and Response,端點偵測與回應系統),他們採用 BYOVD(Bring Your Own Vulnerable Driver)技術。簡單來說,就是安裝一個合法但有漏洞的驅動程式,利用該漏洞來強行關閉安全軟體。
蠕蟲式自動擴散:這是該勒索軟體最致命的特性。當啟動 spread 參數時,它會從單機加密轉變為 Worm(蠕蟲)。蠕蟲是指能自我複製並在網路中自動尋找其他目標的惡意程式。這意味著一旦一台電腦中毒,它會嘗試感染整個區域網路內所有可觸及的系統,導致企業在極短時間內全面癱瘓。
技術實作與加密機制
在開發語言上,The Gentlemen 使用 Go 語言編寫,並使用 Garble 進行混淆(Obfuscation),讓資安分析人員難以透過反組譯來理解其程式邏輯。
加密演算法採用了混合加密方案:使用 X25519 進行金鑰交換,並搭配 XChaCha20 進行對稱加密。這種組合確保了加密速度快且極難被破解。此外,他們還提供 wipe 參數,在加密完成後清除磁碟上的可恢復痕跡,讓受害者即使不付錢也無法透過資料恢復軟體救回檔案。
實務上的防禦建議
面對這種等級的攻擊,單靠防毒軟體是不夠的。工程師與維運人員應關注以下三點:
第一,邊緣設備的即時更新。由於他們專攻 VPN 與防火牆漏洞,保持韌體最新版本是第一道防線。
第二,限制橫向移動。實施網路分段(Network Segmentation)與最小權限原則,防止攻擊者在取得一台設備權限後,能輕易地透過 AD 或 SMB 協定擴散到整個機房。
第三,強化備份策略。由於該組織採取雙重勒索(Double Extortion,既加密資料又威脅外洩私密文件),除了離線備份以應對加密,更需要強化資料外洩偵測(DLP)以減少損害。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。