Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) Okvir za zaštitu od zlonamjernog softvera GentleKiller

Okvir za zaštitu od zlonamjernog softvera GentleKiller

Do Mezo. Napredna trajna prijetnja (APT), Ransomware. godine
Prevedi na:

Gentlemen ransomware-as-a-service (RaaS) operacija aktivno razvija i održava sveobuhvatan paket alata za otkrivanje i odgovor na krajnje točke (EDR) koje povezane tvrtke mogu koristiti za onemogućavanje sigurnosnih zaštita prije implementacije ransomware enkriptora.

U središtu ovog arsenala je okvir poznat kao GentleKiller, kojeg podržava nekoliko alata trećih strana i procurjelih alata, uključujući HexKiller, ThrottleBlood i HavocKiller. Ovi uslužni programi ujedinjeni su zajedničkim okvirom za izbjegavanje obrane koji ih prikriva kao legitimne sigurnosne proizvode korištenjem lažnih informacija o verziji, kopiranih digitalnih certifikata i kloniranih ikona aplikacija.

Brzo iskorištavanje novootkrivenih ranjivosti

Jedna od najznačajnijih sposobnosti grupe je njezina sposobnost brze operacionalizacije novo objavljenih proof-of-concept (PoC) exploita povezanih s tehnikom Bring Your Own Vulnerable Driver (BYOVD). U mnogim slučajevima, novootkriveni exploiti integrirani su u alat grupe u roku od samo nekoliko dana nakon što postanu javno dostupni.

Ovaj pojednostavljeni pristup razvoju pruža povezanim društvima vrlo učinkovite alate, a istovremeno smanjuje zahtjeve za razvojem za same operatere. Model također omogućuje grupi da kontinuirano osvježava svoj arsenal uključivanjem novih zloupotrijebljenih vozača gotovo odmah nakon javnog otkrivanja.

Brzi porast u ekosustavu ransomwarea

Od pojave u ožujku 2025., The Gentlemen su brzo postali jedna od najaktivnijih ransomware skupina u svijetu. Operacija je preuzela odgovornost za 504 žrtve, a većina meta nalazi se u jugoistočnoj Aziji, Južnoj Americi i zapadnoj Europi.

Nedavne istrage identificirale su Aleksandra Andrejeviča Japajeva, 36-godišnjeg ruskog državljanina poznatog na internetu kao 'hastalamuerte', kao vođu operacije. Prije pokretanja programa The Gentlemen, navodno je radio kao suradnik za nekoliko drugih ransomware programa, uključujući Qilin.

Napredno izbjegavanje EDR-a putem impersonacije i binarne zaštite

The Gentlemen se smatra jednom od tehnički najagilnijih RaaS operacija koje su trenutno aktivne. Njegovi programeri koriste više tehnika kako bi osigurali da kompilirani EDR ubojice izbjegnu otkrivanje, uključujući binarne mehanizme zaštite i korištenje naziva datoteka dizajniranih da nalikuju onima poznatih dobavljača kibernetičke sigurnosti. Obmana se proteže na krivotvorene informacije o verziji, digitalne potpise i ikone aplikacija.

Najrašireniji alat u arsenalu, GentleKiller, postoji u osam različitih varijanti. Svaka verzija oponaša drugačiji legitimni sigurnosni proizvod i zloupotrebljava zaseban ranjivi ili zlonamjerni upravljački program kao dio BYOVD lanca napada. Okvir je sposoban identificirati i ciljati otprilike 400 procesa povezanih s 48 različitih sigurnosnih rješenja brojnih dobavljača.

Rastuća zloupotreba ranjivih vozača

Posljednjih mjeseci svjedočili smo povećanoj zlouporabi upravljačkog programa PoisonX.sys u više BYOVD kampanja. U jednom incidentu, upravljački program je korišten za prekid CrowdStrike Falcon EDR platforme. Druga kampanja uključivala je napadače koji su iskorištavali BeyondTrust Remote Support za postavljanje ransomwarea unutar mreže žrtve nakon što su prvo onemogućili sigurnosne proizvode putem PoisonX.sys i hrwfpdrv.sys.

Čak i kada se uklone razlike u brendiranju i odabiru upravljačkih programa, temeljni kod ovih EDR ubojica pokazuje značajne strukturne i bihevioralne sličnosti, što snažno ukazuje na korištenje zajedničkog predloška razvoja.

Ubojice EDR-a trećih strana integrirane u arsenal

Džentlmenski alat uključuje nekoliko vanjskih EDR ubojica temeljenih na BYOVD-u:

  • HexKiller (googleApiUtil64.sys), za koji se prije vjerovalo da je ekskluzivan za Warlock ransomware skupinu.
  • ThrottleBlood (ThrottleBlood.sys), uočen u napadima povezanim s pridruženim tvrtkama MedusaLocker i DragonForce, te HavocKiller ili HwAudKiller (havoc.sys).
  • OxideHarvest proširuje prijetnju izvan ransomwarea

Istraživači su također identificirali zlonamjerni softver za krađu vjerodajnica temeljen na Rustu pod nazivom OxideHarvest, također poznat kao buildx641. Kradljivac je sposoban prikupljati osjetljive podatke iz brojnih popularnih preglednika, uključujući:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk i IceCat.

Centralizirani model koji privlači partnere

Dok mnoge skupine za ransomware prepuštaju operacije zaobilaženja EDR-a svojim povezanim tvrtkama, The Gentlemen su odlučili centralizirati ovu mogućnost pružajući povezanim tvrtkama gotov i standardizirani paket za uklanjanje EDR-a. Ova strategija značajno smanjuje tehničku barijeru za ulazak za povezane tvrtke, pojednostavljuje implementaciju ransomwarea i povećava ukupnu atraktivnost operacije unutar ekosustava kibernetičkog kriminala.

Učitavam...