Navigation
Les derniers articles
Suivez en direct

Comment le ransomware The Gentlemen paralyse usines et hôpitaux ?

Panneau indicateur vintage avec l'inscription "GENTLEMEN" et une flèche pointant vers la droite, utilisé comme illustration pour le ransomware The Gentlemen.
Le ransomware The Gentlemen menace les réseaux industriels mondiaux. Cette analyse détaille ses méthodes de double extorsion et ses tactiques d’évasion furtives.

TL;DR : L’essentiel

  • Apparu mi-2025, le ransomware The Gentlemen cible les infrastructures complexes de 17 pays. Ce groupe privilégie les secteurs industriels et de santé pour maximiser la pression lors des négociations financières de rançons.
  • Techniquement, ce virus écrit en Go nécessite un mot de passe de huit octets pour s’activer. Ce verrouillage sophistiqué empêche les outils de sécurité automatisés d’analyser le code malveillant sans intervention humaine.
  • Pour neutraliser les défenses, les attaquants utilisent des pilotes officiels détournés comme ThrottleBlood.sys. Cette méthode permet d’arrêter les antivirus au cœur du système, laissant le champ libre au chiffrement total des données.
  • Le modèle économique repose sur une franchise offrant 90% des gains aux complices. Ce système a déjà permis de dérober près de 2 téraoctets de données confidentielles chez des victimes industrielles majeures.

L’émergence du ransomware The Gentlemen mi-2025 marque une nouvelle étape dans la professionnalisation du cybercrime organisé. Ce groupe ne se contente pas de chiffrer les données pour réclamer une rançon : il s’introduit dans les systèmes les plus complexes pour paralyser des secteurs vitaux comme la manufacture, la finance et la santé. En ciblant des infrastructures critiques aux États-Unis, en France ou en Thaïlande, ces attaquants démontrent une maturité opérationnelle qui suggère l’implication d’opérateurs expérimentés, possiblement issus d’anciens réseaux criminels. Leur stratégie repose sur une compréhension fine des architectures informatiques modernes, permettant une infiltration silencieuse avant le déclenchement d’un blocage total des opérations.

Le ransomware The Gentlemen détourne les processus d’administration

Pour pénétrer les réseaux, les attaquants exploitent des accès distants vulnérables, notamment des interfaces de gestion VPN ou des pare-feu mal sécurisés. Une fois à l’intérieur, ils utilisent des utilitaires légitimes pour cartographier le réseau sans éveiller les soupçons. L’analyse technique menée par Trend Micro a révélé l’usage de logiciels de diagnostic réseau comme advanced_ip_scanner.exe pour identifier les serveurs les plus précieux. Une preuve flagrante de cette intrusion a été découverte sur un serveur FortiGate, où l’outil de scan Nmap avait été directement téléchargé dans le dossier de l’administrateur compromis. Cette méthode permet aux pirates de se fondre dans le trafic normal de l’entreprise avant de passer à l’offensive.

La phase d’attaque du ransomware The Gentlemen proprement dite repose sur une technique d’évasion appelée BYOVD, ou « apportez votre propre pilote vulnérable ». Le ransomware The Gentlemen déploie un pilote informatique authentique mais faillible, tel que ThrottleBlood.sys, pour obtenir un accès profond au cœur du système d’exploitation. À ce niveau, le virus peut arrêter de force les antivirus et les systèmes de détection sans que ces derniers ne puissent se défendre. Pour garantir que l’attaque ne soit pas bloquée par des outils d’analyse automatique, le malware exige la saisie manuelle d’un mot de passe de huit octets lors de son exécution. Une fois activé, il renomme chaque fichier avec l’extension .7mtzhh et dépose une note de rançon intitulée README-GENTLEMEN.txt, tout en prenant soin de supprimer les sauvegardes automatiques de Windows pour empêcher toute restauration simple.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Une franchise criminelle portée par le ransomware The Gentlemen

Sur le plan organisationnel, le groupe fonctionne comme une franchise criminelle, connue sous le nom de Ransomware-as-a-Service (RaaS). Comme le souligne SOCRadar, les créateurs du virus recrutent des complices sur le Dark Web en leur offrant 90% des bénéfices générés par les attaques. Les opérateurs centraux fournissent l’infrastructure technique et le site où les données volées sont exposées, tandis que les affiliés se chargent de l’infiltration des cibles. Ce modèle permet une expansion rapide à travers le globe, touchant des entreprises de toutes tailles, des banques d’investissement aux géants de la construction, en passant par des hôpitaux où l’indisponibilité des services met directement en jeu la sécurité des patients.

La méthode de la double extorsion est le pilier de ce modèle économique du ransomware The Gentlemen. Avant de verrouiller les ordinateurs, les attaquants dérobent des volumes massifs d’informations sensibles. Dans un incident récent lié à l’entreprise Solumek, près de 2 téraoctets de documents ont été exfiltrés via des outils de transfert de fichiers chiffrés pour ne pas être détectés par la surveillance réseau. Ce vol de données sert de levier de pression supplémentaire : si l’entreprise refuse de payer pour débloquer ses serveurs, les pirates menacent de publier ses secrets industriels ou ses listes de clients sur internet. Cette approche transforme une panne technique en une crise de réputation et de conformité réglementaire majeure, forçant souvent les victimes à entrer en négociation avec les cybercriminels.

L’analyse du ransomware The Gentlemen met en lumière la nécessité pour les organisations de renforcer la surveillance de leurs comptes administratifs et de leurs accès distants. Face à des attaquants capables de manipuler les pilotes système et d’utiliser des langages de programmation modernes comme le Go pour gagner en rapidité, la détection basée sur les comportements suspects devient cruciale. La résilience des entreprises dépendra désormais de leur capacité à identifier ces signaux faibles, comme une modification inhabituelle des politiques de groupe ou l’apparition d’outils d’administration sur des postes non autorisés, avant que le processus de chiffrement ne soit amorcé.

Foire aux questions sur la menace The Gentlemen

Qu’est-ce qu’un ransomware et le principe de double extorsion ?

Un ransomware est un logiciel malveillant qui verrouille les données d’une organisation en les rendant illisibles. La double extorsion ajoute un second niveau de chantage : avant de bloquer les fichiers, les pirates volent des informations confidentielles. Ils menacent ensuite de les divulguer publiquement, augmentant la pression sur la victime pour qu’elle paie la rançon afin d’éviter une fuite de secrets industriels ou de données personnelles.

Comment fonctionne le modèle Ransomware-as-a-Service (RaaS) ?

Ce modèle s’apparente à une franchise. Des développeurs experts créent le virus et l’infrastructure technique (le site de paiement, le système de stockage des données volées). Ils louent ensuite cet arsenal à d’autres cybercriminels, appelés affiliés, qui se chargent de l’attaque concrète contre une entreprise. Dans le cas de The Gentlemen, l’affilié conserve la majeure partie des gains, tandis que les créateurs touchent une commission pour la fourniture du logiciel.

De quelle manière les attaquants détournent-ils l’administration système ?

Les pirates n’utilisent pas toujours des virus complexes pour circuler dans un réseau. Ils préfèrent souvent utiliser les outils que les techniciens informatiques utilisent eux-mêmes tous les jours, comme PsExec pour commander des machines à distance ou la modification des « GPO » (les règles globales de l’entreprise). En volant les identifiants d’un administrateur, ils peuvent agir en toute légitimité apparente pour neutraliser les protections et diffuser le ransomware.

Quelles mesures permettent de se protéger efficacement ?

La protection repose sur le verrouillage des accès. Il est indispensable d’utiliser une authentification à plusieurs facteurs (MFA) pour tous les comptes, de mettre à jour tous les composants informatiques, de surveiller les modifications suspectes sur les serveurs centraux et de limiter l’accès à internet des équipements sensibles. Enfin, maintenir des sauvegardes déconnectées du réseau principal reste la seule garantie de pouvoir récupérer ses données sans payer la rançon en cas de succès de l’attaque.

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.