GentleKiller Malware Framework
Gentlemen ransomware-as-a-service (RaaS)-operationen udvikler og vedligeholder aktivt en omfattende pakke af værktøjer til endpoint detection and response (EDR) til at deaktivere sikkerhedsbeskyttelse, før ransomware-krypteringsprogrammer implementeres.
I centrum af dette arsenal er et framework kendt som GentleKiller, der understøttes af adskillige tredjeparts- og lækkede værktøjer, herunder HexKiller, ThrottleBlood og HavocKiller. Disse værktøjer er forenet gennem et fælles forsvarsundgåelsesframework, der forklæder dem som legitime sikkerhedsprodukter ved hjælp af falske versionsoplysninger, kopierede digitale certifikater og klonede applikationsikoner.
Indholdsfortegnelse
Hurtig udnyttelse af nyligt afslørede sårbarheder
En af gruppens mest bemærkelsesværdige evner er dens evne til hurtigt at operationalisere nyligt offentliggjorte proof-of-concept (PoC) exploits forbundet med Bring Your Own Vulnerable Driver (BYOVD) teknikken. I mange tilfælde integreres nyligt afslørede exploits i gruppens værktøjssæt inden for få dage efter, at de er blevet offentligt tilgængelige.
Denne strømlinede udviklingstilgang giver partnere yderst effektive værktøjer, samtidig med at den reducerer udviklingskravene for operatørerne selv. Modellen gør det også muligt for gruppen løbende at opdatere sit arsenal ved at inkorporere nyligt misbrugte drivere næsten umiddelbart efter offentliggørelse.
En hurtig stigning i ransomware-økosystemet
Siden The Gentlemen opstod i marts 2025, er de hurtigt blevet en af de mest aktive ransomware-grupper i verden. Operationen har taget ansvar for 504 ofre, hvor størstedelen af målene er placeret i Sydøstasien, Sydamerika og Vesteuropa.
Nylige undersøgelser har identificeret Alexander Andreevich Yapaev, en 36-årig russisk statsborger kendt online som 'hastalamuerte', som lederen af operationen. Før han lancerede The Gentlemen, arbejdede han angiveligt som tilknyttet til flere andre ransomware-programmer, herunder Qilin.
Avanceret EDR-undgåelse gennem personefterligning og binær beskyttelse
The Gentlemen betragtes som en af de teknisk mest agile RaaS-operationer, der er aktive i øjeblikket. Dens udviklere anvender adskillige teknikker for at sikre, at kompilerede EDR-killere undgår detektion, herunder binære beskyttelsesmekanismer og brugen af filnavne designet til at ligne dem fra kendte cybersikkerhedsleverandører. Bedraget strækker sig til forfalskede versionsoplysninger, digitale signaturer og applikationsikoner.
Det mest anvendte værktøj i arsenalet, GentleKiller, findes i otte forskellige varianter. Hver version imiterer et andet legitimt sikkerhedsprodukt og misbruger en separat sårbar eller ondsindet driver som en del af en BYOVD-angrebskæde. Frameworket er i stand til at identificere og målrette cirka 400 processer forbundet med 48 forskellige sikkerhedsløsninger fra adskillige leverandører.
Det voksende misbrug af sårbare bilister
I de seneste måneder har der været øget misbrug af driveren PoisonX.sys i flere BYOVD-kampagner. I én hændelse blev driveren brugt til at afslutte CrowdStrike Falcon EDR-platformen. En anden kampagne involverede angribere, der udnyttede BeyondTrust Remote Support til at installere ransomware i et offernetværk efter først at have deaktiveret sikkerhedsprodukter via PoisonX.sys og hrwfpdrv.sys.
Selv når forskelle i branding og drivervalg fjernes, viser den underliggende kode for disse EDR-killers betydelige strukturelle og adfærdsmæssige ligheder, hvilket stærkt indikerer brugen af en delt udviklingsskabelon.
Tredjeparts EDR-dræbere integreret i Arsenal
Gentlemen's toolkit indeholder adskillige eksterne BYOVD-baserede EDR-killere:
- HexKiller (googleApiUtil64.sys), som tidligere blev anset for at være eksklusiv for Warlock ransomware-gruppen.
- ThrottleBlood (ThrottleBlood.sys), observeret i angreb knyttet til MedusaLocker- og DragonForce-tilknyttede selskaber, og HavocKiller eller HwAudKiller (havoc.sys).
- OxideHarvest udvider truslen ud over ransomware
Forskere har også identificeret en Rust-baseret malware, der stjæler legitimationsoplysninger, ved navn OxideHarvest, også kendt som buildx641. Malwaren er i stand til at indsamle følsomme oplysninger fra adskillige populære browsere, herunder:
Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk og IceCat.
En centraliseret model, der tiltrækker affiliates
Mens mange ransomware-grupper overlader EDR-omgåelsesoperationer til deres partnere, har The Gentlemen valgt at centralisere denne funktion ved at give partnere en brugsklar og standardiseret EDR-killer-suite. Denne strategi sænker den tekniske adgangsbarriere for partnere betydeligt, forenkler ransomware-implementeringen og øger den samlede attraktivitet af operationen inden for det cyberkriminelle økosystem.
