जेंटलकिलर मैलवेयर फ्रेमवर्क

द जेंटलमैन रैंसमवेयर-एज़-ए-सर्विस (RaaS) ऑपरेशन सक्रिय रूप से एंडपॉइंट डिटेक्शन एंड रिस्पांस (EDR) किलिंग टूल्स का एक व्यापक सूट विकसित और बनाए रख रहा है, जिसका उपयोग सहयोगी रैंसमवेयर एन्क्रिप्टर्स को तैनात करने से पहले सुरक्षा सुरक्षा उपायों को निष्क्रिय करने के लिए कर सकते हैं।

इस सुरक्षा तंत्र के केंद्र में जेंटलकिलर नामक एक फ्रेमवर्क है, जिसे हेक्सकिलर, थ्रॉटलब्लड और हैवककिलर सहित कई तृतीय-पक्ष और लीक हुए टूल का समर्थन प्राप्त है। ये सभी यूटिलिटीज़ एक सामान्य सुरक्षा-बचाव फ्रेमवर्क के माध्यम से एकीकृत हैं, जो नकली संस्करण जानकारी, कॉपी किए गए डिजिटल प्रमाणपत्र और क्लोन किए गए एप्लिकेशन आइकन का उपयोग करके इन्हें वैध सुरक्षा उत्पादों के रूप में छुपाता है।

हाल ही में सामने आई कमजोरियों का तेजी से शोषण

इस समूह की सबसे उल्लेखनीय क्षमताओं में से एक है ब्रिंग योर ओन वल्नरेबल ड्राइवर (BYOVD) तकनीक से जुड़े नए प्रकाशित प्रूफ-ऑफ-कॉन्सेप्ट (PoC) एक्सप्लॉइट्स को तेजी से कार्यान्वित करने की क्षमता। कई मामलों में, नए सामने आए एक्सप्लॉइट्स सार्वजनिक रूप से उपलब्ध होने के कुछ ही दिनों के भीतर समूह के टूलकिट में एकीकृत कर लिए जाते हैं।

यह सुव्यवस्थित विकास पद्धति सहयोगी संस्थाओं को अत्यधिक प्रभावी उपकरण प्रदान करती है, साथ ही संचालकों के लिए विकास संबंधी आवश्यकताओं को भी कम करती है। यह मॉडल समूह को सार्वजनिक रूप से खुलासा होने के तुरंत बाद ही नए दुर्व्यवहारित ड्राइवरों को शामिल करके अपने संसाधनों को लगातार अद्यतन करने में भी सक्षम बनाता है।

रैनसमवेयर इकोसिस्टम में तेजी से वृद्धि

मार्च 2025 में सामने आने के बाद से, द जेंटलमैन तेजी से दुनिया भर में सबसे सक्रिय रैंसमवेयर समूहों में से एक बन गया है। इस गिरोह ने 504 पीड़ितों को अपना शिकार बनाया है, जिनमें से अधिकांश दक्षिण पूर्व एशिया, दक्षिण अमेरिका और पश्चिमी यूरोप में स्थित हैं।

हालिया जांच में अलेक्जेंडर एंड्रीविच यापायेव, जो 36 वर्षीय रूसी नागरिक है और ऑनलाइन 'हस्तलामुएर्ते' के नाम से जाना जाता है, को इस ऑपरेशन का सरगना बताया गया है। 'द जेंटलमैन' को लॉन्च करने से पहले, वह कथित तौर पर किलिन सहित कई अन्य रैंसमवेयर प्रोग्रामों के लिए सहयोगी के रूप में काम करता था।

प्रतिरूपण और बाइनरी सुरक्षा के माध्यम से उन्नत ईडीआर से बचाव

द जेंटलमैन को वर्तमान में सक्रिय सबसे तकनीकी रूप से चुस्त RaaS कंपनियों में से एक माना जाता है। इसके डेवलपर संकलित EDR किलर को पकड़ से बचाने के लिए कई तकनीकों का इस्तेमाल करते हैं, जिनमें बाइनरी सुरक्षा तंत्र और जाने-माने साइबर सुरक्षा विक्रेताओं के नामों से मिलते-जुलते फ़ाइलनामों का उपयोग शामिल है। यह छल जाली संस्करण जानकारी, डिजिटल हस्ताक्षर और एप्लिकेशन आइकन तक फैला हुआ है।

इस टूलकिट में सबसे व्यापक रूप से इस्तेमाल किया जाने वाला टूल, जेंटलकिलर, आठ अलग-अलग रूपों में मौजूद है। प्रत्येक संस्करण एक अलग वैध सुरक्षा उत्पाद की नकल करता है और BYOVD हमले की श्रृंखला के हिस्से के रूप में एक अलग कमजोर या दुर्भावनापूर्ण ड्राइवर का दुरुपयोग करता है। यह फ्रेमवर्क कई विक्रेताओं के 48 अलग-अलग सुरक्षा समाधानों से जुड़े लगभग 400 प्रक्रियाओं की पहचान करने और उन्हें लक्षित करने में सक्षम है।

कमजोर चालकों के साथ दुर्व्यवहार में वृद्धि

हाल के महीनों में कई BYOVD अभियानों में PoisonX.sys ड्राइवर का दुरुपयोग बढ़ा है। एक घटना में, इस ड्राइवर का उपयोग क्राउडस्ट्राइक फाल्कन EDR प्लेटफॉर्म को बंद करने के लिए किया गया था। एक अन्य अभियान में, हमलावरों ने PoisonX.sys और hrwfpdrv.sys के माध्यम से सुरक्षा उत्पादों को निष्क्रिय करने के बाद पीड़ित नेटवर्क में रैंसमवेयर फैलाने के लिए BeyondTrust रिमोट सपोर्ट का फायदा उठाया।

ब्रांडिंग और ड्राइवर चयन में अंतर को हटा देने पर भी, इन ईडीआर किलर्स का अंतर्निहित कोड महत्वपूर्ण संरचनात्मक और व्यवहारिक समानताएं प्रदर्शित करता है, जो स्पष्ट रूप से एक साझा विकास टेम्पलेट के उपयोग का संकेत देता है।

तृतीय-पक्ष ईडीआर किलर्स को शस्त्रागार में एकीकृत किया गया है

जेंटलमैन के टूलकिट में कई बाहरी BYOVD-आधारित EDR किलर शामिल हैं:

• हेक्सकिलर (googleApiUtil64.sys), जिसे पहले केवल वारलॉक रैंसमवेयर समूह से संबंधित माना जाता था।
• थ्रॉटलब्लड (थ्रॉटलब्लड.sys), जो मेडुसा लॉकर और ड्रैगनफोर्स से जुड़े हमलों में देखा गया है, और हैवक किलर या एचडब्ल्यूएड किलर (havoc.sys)।
• OxideHarvest ने रैंसमवेयर से परे खतरे का दायरा बढ़ा दिया है।

शोधकर्ताओं ने OxideHarvest नामक एक रस्ट-आधारित क्रेडेंशियल-चोरी करने वाले मैलवेयर की भी पहचान की है, जिसे buildx641 के नाम से भी जाना जाता है। यह मैलवेयर कई लोकप्रिय ब्राउज़रों से संवेदनशील जानकारी चुराने में सक्षम है, जिनमें शामिल हैं:

गूगल क्रोम, माइक्रोसॉफ्ट एज, टॉर्च, कोमोडो, एपिक प्राइवेसी ब्राउज़र, विवाल्डी, ब्रेव, ओपेरा, ओपेराजीएक्स, मोज़िला फ़ायरफ़ॉक्स, वॉटरफॉक्स, ब्लैकहॉक और आइसकैट।

एक केंद्रीकृत मॉडल जो सहयोगियों को आकर्षित करता है

जहां कई रैंसमवेयर समूह EDR बाईपास ऑपरेशन अपने सहयोगियों पर छोड़ देते हैं, वहीं द जेंटलमैन ने सहयोगियों को एक तैयार और मानकीकृत EDR-किलर सूट प्रदान करके इस क्षमता को केंद्रीकृत करने का विकल्प चुना है। यह रणनीति सहयोगियों के लिए तकनीकी बाधाओं को काफी कम करती है, रैंसमवेयर डिप्लॉयमेंट को सरल बनाती है और साइबर अपराध जगत में ऑपरेशन की समग्र आकर्षण क्षमता को बढ़ाती है।