TL;DR : L’essentiel
- Apparu mi-2025, le ransomware The Gentlemen cible les infrastructures complexes de 17 pays. Ce groupe privilégie les secteurs industriels et de santé pour maximiser la pression lors des négociations financières de rançons.
- Techniquement, ce virus écrit en Go nécessite un mot de passe de huit octets pour s’activer. Ce verrouillage sophistiqué empêche les outils de sécurité automatisés d’analyser le code malveillant sans intervention humaine.
- Pour neutraliser les défenses, les attaquants utilisent des pilotes officiels détournés comme ThrottleBlood.sys. Cette méthode permet d’arrêter les antivirus au cœur du système, laissant le champ libre au chiffrement total des données.
- Le modèle économique repose sur une franchise offrant 90% des gains aux complices. Ce système a déjà permis de dérober près de 2 téraoctets de données confidentielles chez des victimes industrielles majeures.
L’émergence du ransomware The Gentlemen mi-2025 marque une nouvelle étape dans la professionnalisation du cybercrime organisé. Ce groupe ne se contente pas de chiffrer les données pour réclamer une rançon : il s’introduit dans les systèmes les plus complexes pour paralyser des secteurs vitaux comme la manufacture, la finance et la santé. En ciblant des infrastructures critiques aux États-Unis, en France ou en Thaïlande, ces attaquants démontrent une maturité opérationnelle qui suggère l’implication d’opérateurs expérimentés, possiblement issus d’anciens réseaux criminels. Leur stratégie repose sur une compréhension fine des architectures informatiques modernes, permettant une infiltration silencieuse avant le déclenchement d’un blocage total des opérations.
Le ransomware The Gentlemen détourne les processus d’administration
Pour pénétrer les réseaux, les attaquants exploitent des accès distants vulnérables, notamment des interfaces de gestion VPN ou des pare-feu mal sécurisés. Une fois à l’intérieur, ils utilisent des utilitaires légitimes pour cartographier le réseau sans éveiller les soupçons. L’analyse technique menée par Trend Micro a révélé l’usage de logiciels de diagnostic réseau comme advanced_ip_scanner.exe pour identifier les serveurs les plus précieux. Une preuve flagrante de cette intrusion a été découverte sur un serveur FortiGate, où l’outil de scan Nmap avait été directement téléchargé dans le dossier de l’administrateur compromis. Cette méthode permet aux pirates de se fondre dans le trafic normal de l’entreprise avant de passer à l’offensive.
La phase d’attaque du ransomware The Gentlemen proprement dite repose sur une technique d’évasion appelée BYOVD, ou « apportez votre propre pilote vulnérable ». Le ransomware The Gentlemen déploie un pilote informatique authentique mais faillible, tel que ThrottleBlood.sys, pour obtenir un accès profond au cœur du système d’exploitation. À ce niveau, le virus peut arrêter de force les antivirus et les systèmes de détection sans que ces derniers ne puissent se défendre. Pour garantir que l’attaque ne soit pas bloquée par des outils d’analyse automatique, le malware exige la saisie manuelle d’un mot de passe de huit octets lors de son exécution. Une fois activé, il renomme chaque fichier avec l’extension .7mtzhh et dépose une note de rançon intitulée README-GENTLEMEN.txt, tout en prenant soin de supprimer les sauvegardes automatiques de Windows pour empêcher toute restauration simple.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une franchise criminelle portée par le ransomware The Gentlemen
Sur le plan organisationnel, le groupe fonctionne comme une franchise criminelle, connue sous le nom de Ransomware-as-a-Service (RaaS). Comme le souligne SOCRadar, les créateurs du virus recrutent des complices sur le Dark Web en leur offrant 90% des bénéfices générés par les attaques. Les opérateurs centraux fournissent l’infrastructure technique et le site où les données volées sont exposées, tandis que les affiliés se chargent de l’infiltration des cibles. Ce modèle permet une expansion rapide à travers le globe, touchant des entreprises de toutes tailles, des banques d’investissement aux géants de la construction, en passant par des hôpitaux où l’indisponibilité des services met directement en jeu la sécurité des patients.
La méthode de la double extorsion est le pilier de ce modèle économique du ransomware The Gentlemen. Avant de verrouiller les ordinateurs, les attaquants dérobent des volumes massifs d’informations sensibles. Dans un incident récent lié à l’entreprise Solumek, près de 2 téraoctets de documents ont été exfiltrés via des outils de transfert de fichiers chiffrés pour ne pas être détectés par la surveillance réseau. Ce vol de données sert de levier de pression supplémentaire : si l’entreprise refuse de payer pour débloquer ses serveurs, les pirates menacent de publier ses secrets industriels ou ses listes de clients sur internet. Cette approche transforme une panne technique en une crise de réputation et de conformité réglementaire majeure, forçant souvent les victimes à entrer en négociation avec les cybercriminels.
L’analyse du ransomware The Gentlemen met en lumière la nécessité pour les organisations de renforcer la surveillance de leurs comptes administratifs et de leurs accès distants. Face à des attaquants capables de manipuler les pilotes système et d’utiliser des langages de programmation modernes comme le Go pour gagner en rapidité, la détection basée sur les comportements suspects devient cruciale. La résilience des entreprises dépendra désormais de leur capacité à identifier ces signaux faibles, comme une modification inhabituelle des politiques de groupe ou l’apparition d’outils d’administration sur des postes non autorisés, avant que le processus de chiffrement ne soit amorcé.
Foire aux questions sur la menace The Gentlemen
Qu’est-ce qu’un ransomware et le principe de double extorsion ?
Un ransomware est un logiciel malveillant qui verrouille les données d’une organisation en les rendant illisibles. La double extorsion ajoute un second niveau de chantage : avant de bloquer les fichiers, les pirates volent des informations confidentielles. Ils menacent ensuite de les divulguer publiquement, augmentant la pression sur la victime pour qu’elle paie la rançon afin d’éviter une fuite de secrets industriels ou de données personnelles.
Comment fonctionne le modèle Ransomware-as-a-Service (RaaS) ?
Ce modèle s’apparente à une franchise. Des développeurs experts créent le virus et l’infrastructure technique (le site de paiement, le système de stockage des données volées). Ils louent ensuite cet arsenal à d’autres cybercriminels, appelés affiliés, qui se chargent de l’attaque concrète contre une entreprise. Dans le cas de The Gentlemen, l’affilié conserve la majeure partie des gains, tandis que les créateurs touchent une commission pour la fourniture du logiciel.
De quelle manière les attaquants détournent-ils l’administration système ?
Les pirates n’utilisent pas toujours des virus complexes pour circuler dans un réseau. Ils préfèrent souvent utiliser les outils que les techniciens informatiques utilisent eux-mêmes tous les jours, comme PsExec pour commander des machines à distance ou la modification des « GPO » (les règles globales de l’entreprise). En volant les identifiants d’un administrateur, ils peuvent agir en toute légitimité apparente pour neutraliser les protections et diffuser le ransomware.
Quelles mesures permettent de se protéger efficacement ?
La protection repose sur le verrouillage des accès. Il est indispensable d’utiliser une authentification à plusieurs facteurs (MFA) pour tous les comptes, de mettre à jour tous les composants informatiques, de surveiller les modifications suspectes sur les serveurs centraux et de limiter l’accès à internet des équipements sensibles. Enfin, maintenir des sauvegardes déconnectées du réseau principal reste la seule garantie de pouvoir récupérer ses données sans payer la rançon en cas de succès de l’attaque.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
