Microsoft heeft een waarschuwing uitgebracht over de Gentlemen ransomware, een nieuw type ransomware dat zichzelf kan verspreiden binnen netwerken. Deze ransomware, geschreven in de programmeertaal Go, is in staat om lateraal te bewegen binnen een gecompromitteerde omgeving en zichzelf te installeren op meerdere systemen, waardoor aanvallers hun impact kunnen vergroten voorbij het aanvankelijk geïnfecteerde apparaat.

Volgens Microsoft werd de Gentlemen ransomware voor het eerst waargenomen halverwege 2025 en blijft deze actief in 2026, met slachtoffers in sectoren als onderwijs, transport, gezondheidszorg en financiën verspreid over Noord- en Zuid-Amerika, Europa, Afrika en Azië. Oorspronkelijk was Gentlemen een gesloten ransomware, maar sinds september 2025 is het beschikbaar als ransomware-as-a-service (RaaS). De exploitanten werken samen met het cybercriminelenforum BreachForums om affiliates aan te trekken, waaronder penetratietesters en initial access brokers.

De ransomware onderscheidt zich doordat het zichzelf kan verspreiden zonder dat de aanvallers voortdurend handmatig hoeven in te grijpen. Het programma identificeert andere systemen binnen het netwerk, gebruikt gestolen inloggegevens om zich te authenticeren en kopieert zichzelf via het Server Message Block-protocol (SMB) naar andere machines. Vervolgens kan het op afstand worden uitgevoerd en zo een keten van infecties veroorzaken binnen het netwerk. Hierbij maakt het gebruik van legitieme beheertools en Windows-functionaliteiten om detectie te bemoeilijken en de noodzaak voor actieve betrokkenheid van de aanvallers te verminderen.

De ransomware kan via commandoregelargumenten worden bestuurd, waarbij een wachtwoord vereist is voor uitvoering. Optionele parameters bepalen onder andere de encryptiescope, snelheid, laterale beweging en gedrag na encryptie. Zo zorgt het argument "–full" ervoor dat lokale schijven en netwerkshares met SYSTEM-rechten worden versleuteld, terwijl "–spread" de laterale verspreiding activeert. Microsoft adviseert om Gentlemen niet alleen als een patch- of detectieprobleem te zien, maar als een aanvalspad dat inzicht vereist in mogelijke verspreidingsroutes en waar controles kunnen worden ingezet om de ransomware te detecteren, te beperken of te verstoren.

De ransomware voert een wachtwoordcontrole uit om misbruik van de RaaS-dienst door onbevoegden te voorkomen. Voor de onderzochte sample is het wachtwoord "9VoAvR7G" hardcoded in de malware. De zelfverspreidende aard van Gentlemen verkleint de tijd die beschikbaar is voor detectie, onderzoek en containment aanzienlijk zodra de malware actief wordt, waardoor snelle respons cruciaal is.

Meer details over de technische werking en verspreiding van de Gentlemen ransomware zijn te vinden in de waarschuwing van Microsoft.