ESET Research alerte : le ransomware Gentlemen déjoue les antivirus des entreprises dans le monde entier

Date:

Ni les États-Unis, ni l'Europe, ni les marchés émergents ne sont épargnés : ce groupe de cybercriminels équipe ses affiliés d'outils capables de neutraliser les logiciels de sécurité les plus utilisés en entreprise.

Pourquoi c’est important pour votre entreprise

  • Gentlemen fournit directement à ses affiliés des outils pour désactiver les antivirus et logiciels de détection (EDR) — les entreprises ne peuvent plus compter uniquement sur ces outils.
  • Le groupe pratique la double extorsion : chiffrement des données ET menace de publication en cas de non-paiement.
  • Aucune zone géographique n’est épargnée : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest sont particulièrement ciblées.
  • Le modèle économique du groupe (jusqu’à 90 % des revenus reversés aux affiliés) attire un nombre croissant d’attaquants.

Un fournisseur de rançongiciel qui pense comme une entreprise technologique

Apparu fin 2025, le groupe de ransomware-as-a-service (RaaS) Gentlemen s’est imposé en quelques mois comme l’un des acteurs les plus actifs de la cybercriminalité mondiale. Une nouvelle analyse publiée par les chercheurs d’ESET Research révèle ce qui distingue ce groupe de ses concurrents : au lieu de laisser ses affiliés se débrouiller pour contourner les logiciels de sécurité des entreprises visées, Gentlemen développe et fournit lui-même un arsenal complet d’outils dédiés à cette tâche.

Cette approche, inhabituelle dans l’écosystème des rançongiciels, s’accompagne d’un modèle de rémunération particulièrement attractif pour les affiliés, qui peuvent percevoir jusqu’à 90 % des revenus générés par une attaque réussie. Résultat : un flux constant de nouveaux attaquants équipés d’outils prêts à l’emploi, capables de désactiver les solutions de détection et de réponse aux incidents (EDR) que de nombreuses entreprises considèrent comme leur dernière ligne de défense.

GentleKiller : la clé de voûte technique de l’arsenal

Au cœur de cet arsenal figure GentleKiller, un outil propriétaire dont ESET a recensé huit variantes. Chacune se fait passer pour un logiciel légitime et exploite un pilote système vulnérable pour désactiver les protections en place — une technique connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD). Le groupe complète cet arsenal maison par plusieurs outils tiers, HexKiller, ThrottleBlood et HavocKiller, le tout harmonisé pour uniformiser les techniques de contournement.

« Grâce à notre visibilité continue sur les incidents impliquant ce groupe, nous sommes en mesure d’apporter un éclairage inédit sur les pratiques de développement mises en œuvre par ses opérateurs », indique Jakub Souček, chercheur chez ESET spécialisé dans l’étude des outils de contournement des EDR. Une fuite de données internes survenue en mai 2026 a par ailleurs confirmé qu’un véritable portefeuille d’outils est développé et maintenu en continu pour les affiliés du groupe.

Une menace mondiale, sans zone de confort géographique

Contrairement à la plupart des grands groupes de ransomware, dont les victimes revendiquées se concentrent à près de 50 % aux États-Unis, Gentlemen adopte une stratégie résolument internationale. Ses affiliés ont particulièrement ciblé l’Asie du Sud-Est, l’Amérique du Sud et l’Europe de l’Ouest, avec un intérêt marqué pour des pays habituellement moins exposés comme la Thaïlande, le Brésil ou la France. Déjà classé parmi les cinq groupes de ransomware les plus actifs du premier trimestre 2026, Gentlemen pratique en outre la double extorsion : chiffrement des systèmes et menace de publication des données volées en cas de refus de payer.

Cette dispersion géographique constitue un signal d’alerte pour les directions d’entreprise et les responsables de la sécurité des systèmes d’information, y compris dans des régions qui ne figurent pas historiquement parmi les cibles prioritaires des grands groupes RaaS.

Ce que les dirigeants doivent en retenir

Pour les directions générales et les responsables de la conformité, l’enseignement principal est clair : les défenses fondées exclusivement sur des solutions EDR ne suffisent plus face à des groupes disposant de capacités d’ingénierie dédiées à leur contournement. Selon Jakub Souček, comprendre les mécanismes internes de GentleKiller permet aux équipes de sécurité d’anticiper et d’adapter leurs stratégies de défense, renforçant ainsi la résilience des organisations face aux évolutions futures de cet arsenal.

L’analyse technique complète des chercheurs d’ESET Research, « Killing me gently: Inside Gentlemen’s EDR killer framework », est disponible sur WeLiveSecurity.com.

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Tunisie-FMA : un premier prêt de 312 millions de dollars pour soutenir la balance des paiements

Un accord de prêt élargi de 312 millions de dollars a été signé entre la BCT et le FMA le 7 juillet 2026, décaissable en trois tranches sur une maturité de 7 ans, avec 3,5 ans de grâce.

Financement syndiqué : Enda Tamweel lève 160 MDT auprès d’un pool bancaire mené par Amen Bank

Commerçants de quartier, agriculteurs, porteurs de projets : derrière les 160 MDT levés par Enda Tamweel se joue l'accès au crédit de milliers de Tunisiens exclus des circuits bancaires classiques.

Bourse de Tunis : les bénéfices 2025 bondissent de 7,2%

BIAT bondit de 23%, la distribution renoue avec les bénéfices, mais dix sociétés cotées, dont Tunisair, n'ont toujours pas publié leurs comptes 2025. Tour d'horizon des chiffres qui font (ou défont) la cote tunisienne cette année.

BRICS : l’économiste Jim O’Neill juge désormais crédible une alternative au dollar

« Il y a 18 mois, j'aurais parlé de fantaisie » : Jim O'Neill revoit son jugement sur la capacité des BRICS à bâtir des alternatives crédibles au dollar, portées par l'essor des paiements domestiques.

A lire également
A lire également

ESET Research : le cyberespionnage vietnamien se recentre sur ses propres frontières, un signal à surveiller pour les investisseurs du Maghreb

Le groupe de cyberespionnage OceanLotus recentre ses attaques sur le Vietnam, révèle ESET Research, via une compromission supply chain visant des plateformes d'investissement financier.

ESET Research découvre deux nouvelles portes dérobées Windows du groupe espion FishMonger

Baptisées WIN_DRV et WIN_PLUS, ces portes dérobées exploitent des pilotes noyau pour dissimuler leurs connexions réseau et résister à la détection.

Samsung confirme le Galaxy Ring 2 et ouvre la porte aux utilisateurs d’iPhone

Samsung travaille sur la prochaine génération de sa bague connectée et pourrait, pour la première fois, l'ouvrir aux utilisateurs d'iPhone — un virage stratégique face à Apple et Oura.

ESET démantèle Amadey et Stealc : deux malwares-as-a-service neutralisés dans une opération mondiale

Trois ans de surveillance, des milliers d'indicateurs partagés, des serveurs neutralisés dans le monde entier : ESET Research a joué un rôle central dans le démantèlement de deux cybermenaces majeures opérant en mode Malware-as-a-Service.

Câble MEDUSA : Orange Tunisie dote la Tunisie d’une nouvelle autoroute numérique méditerranéenne

Le câble MEDUSA, dont Orange Tunisie est propriétaire de la section tunisienne et de la station d'atterrissement de Bizerte, offre une capacité de 24 Tbps par paire de fibres, propulsant la Tunisie au rang de hub numérique régional.

Samsung Galaxy Watch 9 et Ultra 2 : ce que les fuites dévoilent avant le lancement de juillet

Avant l'Unpacked de juillet 2026, les fuites sur la Galaxy Watch 9 et l'Ultra 2 se précisent : nouveau SoC, autonomie en hausse et design anguleux pour le modèle premium.

Samsung révolutionne le confort des appareils connectés grâce au design computationnel

Samsung combine intelligence artificielle, jumeaux numériques et robots de test pour concevoir des Galaxy Buds4 et Galaxy Watch8 adaptés à l'anatomie de chaque utilisateur à l'échelle mondiale.

Epson Tunisie sponsor du 8e Congrès de chirurgie cardiaque : technologie au service de la santé

À l'occasion du 8e congrès de l'ATCCV, Epson a mis en avant des solutions d'étiquetage, de numérisation et d'impression médicale, confirmant son engagement auprès des secteurs professionnels stratégiques en Tunisie.