The Gentlemen : lever le voile sur l'évolution de la menace ransomware en entreprise

Le monde de la cybersécurité évolue constamment, et les adversaires avec lui. L'émergence du ransomware « The Gentlemen », une opération sophistiquée suivie sous le nom de Phantom Mantis, marque une escalade significative dans le paysage des menaces. Ce groupe a rapidement accumulé 478 victimes, s'appuyant sur des tactiques avancées, l'intelligence artificielle pour le développement et des capacités de propagation de type ver. Pour les organisations d'entreprise, comprendre cette menace n'est pas un exercice académique : c'est essentiel pour maintenir la résilience opérationnelle et l'intégrité des données. Des reportages comme la couverture de The Hacker News sur The Gentlemen soulignent l'urgence pour les équipes de sécurité.

D'affilié à autonome : l'ascension de The Gentlemen

Initialement opérant comme affilié au sein de schémas Ransomware-as-a-Service (RaaS) majeurs tels que LockBit, Qilin et Medusa, The Gentlemen est passé à un programme de partenariat indépendant en juillet 2025. Ce changement marque une orientation stratégique vers l'autosuffisance et un plus grand contrôle de leurs opérations. Dirigé par le cybercriminel russophone LARVA-368, le groupe a démontré un haut degré d'adaptabilité et de maîtrise technique.

Un aspect particulièrement préoccupant, mis en évidence par l'analyse de PRODAFT, est la forte dépendance de LARVA-368 à l'intelligence artificielle pour le développement et la maintenance de son ransomware et des outils associés, ainsi que pour les procédures de post-exploitation. Cette intégration de l'IA permet un cycle de développement rapide, lui permettant d'adapter et de corriger rapidement son ransomware, comme en témoigne un correctif publié le jour même après la divulgation d'un déchiffreur.

Le business de l'extorsion : une opération hautement organisée

The Gentlemen fonctionne avec la sophistication d'une entreprise criminelle bien structurée. La communication, le support technique et même la résolution des litiges entre affiliés sont gérés via des personnages dédiés et des plateformes sécurisées comme Tox, SimpleX Chat et Ricochet Refresh. Cette organisation professionnelle s'étend au recrutement d'affiliés, où les partenaires potentiels doivent fournir au moins 1 Go de données exfiltrées d'une victime — une tactique astucieuse pour filtrer les affiliés et dissuader l'accès des forces de l'ordre.

Leur modèle de partage des profits est agressif, offrant aux affiliés 90 % des gains, nettement plus attractif que de nombreuses autres opérations RaaS. Cela incite un réseau plus large d'acteurs malveillants et intensifie la menace. Le groupe suit et exploite également activement des vulnérabilités zero-day et n-day dans des logiciels et infrastructures d'entreprise courants, notamment VMware Aria Operations, Fortinet, Cisco et les produits Microsoft, démontrant une capacité sophistiquée de veille sur les menaces.

L'avantage technique : propagation de type ver et attaques assistées par IA

Ce qui distingue vraiment The Gentlemen, c'est son approche multifacette de la compromission et de la propagation :

• Accès initial : Le groupe obtient principalement l'accès via des services exposés sur Internet vulnérables ou des identifiants volés. Les dispositifs périphériques tels que les appliances VPN, les pare-feu (Cisco, Fortinet FortiGate) et autres systèmes exposés sont des cibles privilégiées.
• Outillage avancé : Une fois à l'intérieur, ils emploient une boîte à outils complète pour les différentes phases d'une attaque. Des utilitaires red team comme NetExec, RelayKing, TaskHound, PrivHound et CertiHound sont utilisés pour la découverte Active Directory, l'abus de certificats, l'escalade de privilèges et la découverte de partages. Des outils personnalisés tels que EDRStartupHinder et gfreeze sont déployés pour contourner les programmes de sécurité, tandis que Velociraptor facilite le commandement et contrôle (C2).
• Propagation de type ver : Le suivi par Microsoft de ce cluster, surnommé Storm-2697, révèle une capacité critique : activé avec l'argument --spread, le ransomware The Gentlemen passe d'un chiffreur mono-hôte à un ver auto-propagateur. Il peut ainsi tenter de se déployer sur tous les systèmes accessibles du réseau, augmentant considérablement la portée et l'impact de l'attaque.
• Effacement de données et chiffrement hybride : Au-delà du chiffrement, le ransomware peut exécuter des routines post-chiffrement pour éliminer les artefacts récupérables du disque via l'argument --wipe. Il emploie un schéma cryptographique hybride robuste (échange de clés X25519 avec chiffrement symétrique XChaCha20), rendant le déchiffrement sans clé pratiquement impossible.
• Extorsion multicanal : ZeroFox rapporte que The Gentlemen combine attaques par ransomware, sollicitations par e-mail et pression téléphonique, illustrant une stratégie d'extorsion globale et agressive.

Risques métier et implications pour l'entreprise

Les implications des capacités de The Gentlemen pour les entreprises sont profondes :

• Surface d'attaque accrue : L'accent mis sur les dispositifs périphériques courants et les services exposés signifie que pratiquement toute organisation ayant une empreinte numérique est une cible potentielle.
• Contamination rapide : La capacité de propagation de type ver réduit drastiquement le délai avant compromission totale du réseau, rendant insuffisante une réponse aux incidents traditionnelle et réactive.
• Évasion sophistiquée : Des techniques d'évasion avancées compliquent la détection et le confinement, mettant à rude épreuve les contrôles de sécurité existants.
• Pertes de données et temps d'arrêt significatifs : La combinaison d'un chiffrement puissant et d'un éventuel effacement de données entraîne de graves perturbations opérationnelles et des pertes financières.
• Atteinte à la réputation et amendes réglementaires : Les violations de données et les interruptions prolongées peuvent gravement nuire à la réputation et entraîner des sanctions réglementaires substantielles.
• Risque de chaîne d'approvisionnement : En tant qu'opération RaaS, ses affiliés peuvent cibler toute organisation, y compris celles de votre chaîne d'approvisionnement, créant des effets en cascade.

Défense proactive : stratégies pour atténuer The Gentlemen

Les entreprises doivent adopter une stratégie de cybersécurité proactive et multicouche pour se défendre contre des menaces comme The Gentlemen. S'appuyer uniquement sur les défenses périmétriques n'est plus suffisant.

Recommandations clés :

1. Gestion des correctifs et des vulnérabilités robuste : Mettez régulièrement à jour et corrigez tous les logiciels, systèmes d'exploitation et équipements réseau, en particulier ceux exposés sur Internet. Portez une attention particulière aux vulnérabilités signalées dans les produits Fortinet, Cisco, VMware et Microsoft.
2. Segmentation réseau : Implémentez une segmentation stricte pour limiter le mouvement latéral du ransomware. Appliquez les principes Zero Trust Network Access (ZTNA) lorsque c'est possible.
3. EDR / XDR : Déployez des solutions avancées de détection et réponse sur les endpoints (EDR) ou étendues (XDR) capables de détecter et répondre à des tactiques sophistiquées.
4. Renforcer l'IAM : Imposez des mots de passe forts et uniques et l'authentification multifacteur (MFA), en particulier pour les comptes administratifs et privilégiés.
5. Stratégie complète de sauvegarde et de reprise : Appliquez la stratégie 3-2-1 avec des copies isolées et immuables.
6. Formation à la sensibilisation à la sécurité : Formez les employés au phishing, à l'ingénierie sociale et à l'importance de signaler les activités suspectes.
7. Surveillance continue et threat hunting : Surveillance de sécurité 24/7 via SIEM et chasse proactive aux menaces.
8. Plan de réponse aux incidents : Développez, testez et mettez régulièrement à jour un plan complet de confinement, d'éradication et de reprise.

Résilience avec ITCS VIP

La complexité et l'évolution de menaces comme The Gentlemen soulignent le besoin d'expertise spécialisée. Chez ITCS VIP, nous comprenons que la cybersécurité d'entreprise ne se résume pas à la technologie : il s'agit de stratégie, de personnes et de processus.

Nos services professionnels répondent aux défis spécifiques des groupes de ransomware modernes :

• Managed Detection and Response (MDR) : Surveillance proactive 24/7/365, threat hunting et réponse rapide aux incidents avec des technologies EDR/XDR avancées.
• Architecture de sécurité réseau et segmentation : Conception et mise en œuvre de stratégies de segmentation robustes, y compris des cadres Zero Trust, pour limiter le mouvement latéral et atténuer la propagation de type ver.
• Cloud Security Posture Management (CSPM) : Identification et remédiation des mauvaises configurations et vulnérabilités dans les environnements cloud.
• Gestion des vulnérabilités et tests d'intrusion : Évaluations approfondies pour identifier les faiblesses et corriger proactivement les vulnérabilités critiques.
• Conseil en cybersécurité et planification de la réponse aux incidents : Développement et affinement des plans de réponse.
• Sauvegarde sécurisée et reprise après sinistre : Solutions air-gapped et immuables garantissant la récupérabilité des données.

En vous associant à ITCS VIP, les entreprises peuvent renforcer leurs défenses, réduire leur surface d'attaque et améliorer leur résilience. N'attendez pas une violation pour agir.

Conclusion

The Gentlemen représente une évolution redoutable de la cyberextorsion, combinant développement piloté par l'IA, propagation de type ver et un modèle RaaS hautement organisé. Son nombre rapide de victimes et sa chaîne d'attaque sophistiquée rappellent que les défenses statiques sont insuffisantes. Les entreprises doivent adopter une approche dynamique, proactive et en couches, adaptant continuellement leurs défenses pour devancer des adversaires de plus en plus intelligents.