Un nouveau groupe de ransomware industrialisé a récemment émergé, ayant pour particularité d’endormir les logiciels de sécurité avant de passer à l’attaque. Contrairement à d’autres groupes, souvent centrés sur les États-Unis, ce gang a choisi de cibler l’Europe de l’Ouest.
Le rançongiciel fonctionne sur un principe bien établi : il chiffre les fichiers d’une victime avant de demander une rançon pour leur déblocage. Des groupes plus organisés ont ajouté une étape cruciale, celle de neutraliser les défenses qui pourraient les détecter. De nombreux gangs opèrent désormais comme des franchises criminelles, permettant à des pirates indépendants, appelés affiliés, de louer leurs outils pour mener des attaques en échange d’une commission. Un groupe dénommé Gentlemen a poussé ce modèle à l’extrême en fournissant des outils prêts à l’emploi pour désactiver les antivirus professionnels.
À lire aussi : 100 000 dollars si vous avez été piraté – la promesse étonnante de cette société française
Comment un gang en arrive-t-il à désarmer les antivirus ?
Alors que la plupart des groupes laissent leurs affiliés gérer le contournement des protections, Gentlemen a choisi de centraliser cette fonction. Son principal outil, GentleKiller, existe en huit variantes, chacune se faisant passer pour un logiciel légitime et exploitant un pilote vulnérable pour désactiver les défenses de l’intérieur. Cet outil cible plus de 400 processus de sécurité répartis sur 48 produits, y compris ceux de CrowdStrike, SentinelOne et Microsoft.
Ce processus détourne des pilotes signés et reconnus comme légitimes, exploitant une faille que les éditeurs peinent à corriger. Le modèle économique est simple : le gang reverse 90 % des rançons à ses affiliés, qui louent son arsenal de chiffrement. En abaissant la barrière d’entrée, Gentlemen attire des pirates moins expérimentés, leur épargnant le développement de leurs propres outils. La double extorsion est également en jeu, le groupe menaçant de divulguer les données volées si la victime refuse de payer.
Pourquoi l’Europe se retrouve-t-elle visée ?
Alors que la majorité des grands gangs concentrent leurs attaques sur les États-Unis, Gentlemen a choisi une stratégie inverse. Ses affiliés ciblent principalement l’Europe de l’Ouest, l’Asie du Sud-Est et l’Amérique du Sud. Cette approche place des pays comme la France dans la ligne de mire, bien qu’aucune victime française n’ait été publiquement identifiée à ce jour. L’essor de ce groupe suscite des inquiétudes parmi les responsables de la sécurité.
Apparu fin 2025, Gentlemen est né d’une scission au sein du gang Qilin, suite à un différend financier. Il a rassemblé une équipe de transfuges provenant de LockBit, Medusa et Embargo, formant ainsi un savoir-faire redoutable. Le groupe a déjà revendiqué plus de 200 victimes au premier trimestre 2026, ce qui le place comme le deuxième acteur le plus actif mondialement, juste derrière Qilin. Une fuite interne a confirmé son fonctionnement, et un journaliste spécialisé a récemment identifié son leader présumé.
Pour les entreprises européennes, la situation est alarmante : un antivirus haut de gamme ne garantit plus une protection efficace, étant précisément la première cible de ces pirates. La véritable défense doit désormais être mise en place en amont, avant que le rançongiciel n’atteigne les fichiers.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Bleeping Computer
