Un nouvel outil de ransomware : le gang Gentlemen et ses EDR killers
Le gang de ransomware Gentlemen, apparu fin 2025, se distingue par sa capacité à fournir des outils spécifiques à ses affiliés pour neutraliser les solutions de détection et de réponse aux menaces (EDR) sur les machines ciblées. Cette approche fait l’objet d’une enquête approfondie menée par les chercheurs d’ESET, révélant un modèle de fonctionnement innovant dans le domaine du ransomware-as-a-service (RaaS).
Gentlemen a rapidement émergé comme l’un des gangs de ransomware les plus actifs au premier trimestre 2026, adoptant une méthode de double extorsion. Cela implique non seulement le chiffrement des données de la victime, mais également la menace de divulguer ces informations si la rançon n’est pas payée.
Les opérateurs de Gentlemen offrent plusieurs modules de chiffrement, incluant des variantes écrites en Go pour Windows et Linux, ainsi qu’une version pour ESXi en C. Ce qui les distingue des autres groupes, c’est leur capacité à développer et maintenir un ensemble d’outils appelés « EDR killers », qui sont fournis directement à leurs affiliés. Contrairement à d’autres gangs, où chaque affilié doit trouver ses propres outils, Gentlemen propose un catalogue complet, facilitant ainsi les opérations de ses membres.
Parmi ces outils, GentleKiller a été identifié comme un produit maison. Selon ESET, cette infrastructure interne permet aux opérateurs de contourner efficacement les EDR. Les recherches ont révélé au moins huit variantes de GentleKiller, chacune se faisant passer pour un logiciel légitime et ciblant plus de 400 processus associés à 48 produits de sécurité.
Les affiliés de Gentlemen opèrent sur un large éventail géographique, avec une concentration notable de victimes en Asie du Sud-Est, en Amérique du Sud et en Europe de l’Ouest, y compris la France. Les données récemment divulguées montrent que le choix des cibles repose principalement sur des critères techniques, comme la configuration des systèmes FortiGate, plutôt que sur leur localisation géographique.
La liste des victimes mentionnée par le gang inclut plusieurs entreprises françaises, telles qu’Amigest, Cofaq, et la commune du Perreux-sur-Marne, soulignant ainsi l’ampleur de la menace que représente Gentlemen sur le territoire français.
Source : ESET
