ក្របខ័ណ្ឌមេរោគ GentleKiller

ប្រតិបត្តិការ Gentlemen ransomware-as-a-service (RaaS) កំពុងអភិវឌ្ឍ និងថែរក្សាឧបករណ៍សម្លាប់ចំណុចបញ្ចប់ (EDR) ដ៏ទូលំទូលាយ ដែលសាខាអាចប្រើដើម្បីបិទការការពារសុវត្ថិភាពមុនពេលដាក់ពង្រាយកម្មវិធីអ៊ិនគ្រីប ransomware។

នៅចំកណ្តាលនៃឃ្លាំងអាវុធនេះគឺជាក្របខ័ណ្ឌមួយដែលគេស្គាល់ថា GentleKiller ដែលត្រូវបានគាំទ្រដោយឧបករណ៍ភាគីទីបី និងឧបករណ៍លេចធ្លាយជាច្រើន រួមទាំង HexKiller, ThrottleBlood និង HavocKiller។ ឧបករណ៍ប្រើប្រាស់ទាំងនេះត្រូវបានបង្រួបបង្រួមតាមរយៈក្របខ័ណ្ឌការពារការគេចវេសរួមមួយ ដែលក្លែងបន្លំពួកវាជាផលិតផលសុវត្ថិភាពស្របច្បាប់ដោយប្រើព័ត៌មានកំណែក្លែងក្លាយ វិញ្ញាបនបត្រឌីជីថលដែលបានចម្លង និងរូបតំណាងកម្មវិធីដែលបានក្លូន។

ការកេងប្រវ័ញ្ចយ៉ាងឆាប់រហ័សនៃភាពងាយរងគ្រោះដែលទើបនឹងបង្ហាញថ្មីៗ

សមត្ថភាពគួរឱ្យកត់សម្គាល់បំផុតមួយរបស់ក្រុមនេះ គឺសមត្ថភាពរបស់ខ្លួនក្នុងការដំណើរការយ៉ាងឆាប់រហ័សនូវការវាយប្រហារ proof-of-concept (PoC) ដែលទើបបោះពុម្ពផ្សាយថ្មី ដែលទាក់ទងនឹងបច្ចេកទេស Bring Your Own Vulnerable Driver (BYOVD)។ ក្នុងករណីជាច្រើន ការវាយប្រហារដែលទើបបង្ហាញថ្មីៗ ត្រូវបានបញ្ចូលទៅក្នុងឧបករណ៍របស់ក្រុមក្នុងរយៈពេលត្រឹមតែប៉ុន្មានថ្ងៃប៉ុណ្ណោះ បន្ទាប់ពីវាចេញផ្សាយជាសាធារណៈ។

វិធីសាស្រ្តអភិវឌ្ឍន៍ដែលមានលក្ខណៈសាមញ្ញនេះផ្តល់ឱ្យសាខានូវឧបករណ៍ដែលមានប្រសិទ្ធភាពខ្ពស់ ខណៈពេលដែលកាត់បន្ថយតម្រូវការអភិវឌ្ឍន៍សម្រាប់ប្រតិបត្តិករខ្លួនឯង។ គំរូនេះក៏អនុញ្ញាតឱ្យក្រុមនេះធ្វើឱ្យឃ្លាំងអាវុធរបស់ខ្លួនស្រស់ថ្លាឡើងវិញជាបន្តបន្ទាប់ដោយបញ្ចូលអ្នកបើកបរដែលទើបរំលោភបំពានថ្មីៗស្ទើរតែភ្លាមៗបន្ទាប់ពីការបង្ហាញជាសាធារណៈ។

ការកើនឡើងយ៉ាងឆាប់រហ័សនៃប្រព័ន្ធអេកូឡូស៊ី Ransomware

ចាប់តាំងពីលេចចេញជារូបរាងនៅក្នុងខែមីនា ឆ្នាំ២០២៥ មក The Gentlemen បានក្លាយជាក្រុម ransomware ដ៏សកម្មបំផុតមួយយ៉ាងឆាប់រហ័សនៅទូទាំងពិភពលោក។ ប្រតិបត្តិការនេះបានអះអាងពីការទទួលខុសត្រូវចំពោះជនរងគ្រោះចំនួន ៥០៤នាក់ ដោយគោលដៅភាគច្រើនមានទីតាំងនៅទូទាំងអាស៊ីអាគ្នេយ៍ អាមេរិកខាងត្បូង និងអឺរ៉ុបខាងលិច។

ការស៊ើបអង្កេតថ្មីៗនេះបានកំណត់អត្តសញ្ញាណលោក Alexander Andreevich Yapaev ជាជនជាតិរុស្ស៊ីអាយុ 36 ឆ្នាំ ដែលត្រូវបានគេស្គាល់តាមអ៊ីនធឺណិតថា 'hastalamuerte' ជាអ្នកដឹកនាំប្រតិបត្តិការនេះ។ មុនពេលបើកដំណើរការ The Gentlemen គាត់ត្រូវបានគេរាយការណ៍ថាបានធ្វើការជាសម្ព័ន្ធសម្រាប់កម្មវិធី ransomware ជាច្រើនទៀត រួមទាំង Qilin ផងដែរ។

ការគេចវេស EDR កម្រិតខ្ពស់តាមរយៈការក្លែងបន្លំ និងការការពារប្រព័ន្ធគោលពីរ

The Gentlemen ត្រូវបានចាត់ទុកថាជាប្រតិបត្តិការ RaaS មួយក្នុងចំណោមប្រតិបត្តិការ RaaS ដែលមានភាពរហ័សរហួនបំផុតនាពេលបច្ចុប្បន្ន។ អ្នកអភិវឌ្ឍន៍របស់វាប្រើប្រាស់បច្ចេកទេសច្រើនដើម្បីធានាថា EDR killers ដែលបានចងក្រងរួចផុតពីការរកឃើញ រួមទាំងយន្តការការពារប្រព័ន្ធគោលពីរ និងការប្រើប្រាស់ឈ្មោះឯកសារដែលត្រូវបានរចនាឡើងដើម្បីឱ្យស្រដៀងនឹងឈ្មោះរបស់អ្នកលក់សន្តិសុខតាមអ៊ីនធឺណិតដ៏ល្បីល្បាញ។ ការបោកប្រាស់នេះពង្រីកដល់ព័ត៌មានកំណែក្លែងក្លាយ ហត្ថលេខាឌីជីថល និងរូបតំណាងកម្មវិធី។

ឧបករណ៍ដែលប្រើប្រាស់យ៉ាងទូលំទូលាយបំផុតនៅក្នុងឃ្លាំងអាវុធគឺ GentleKiller មាននៅក្នុងបំរែបំរួលផ្សេងៗគ្នាចំនួនប្រាំបី។ កំណែនីមួយៗធ្វើត្រាប់តាមផលិតផលសុវត្ថិភាពស្របច្បាប់ផ្សេងៗគ្នា និងរំលោភបំពានកម្មវិធីបញ្ជាដែលងាយរងគ្រោះ ឬព្យាបាទដាច់ដោយឡែកជាផ្នែកមួយនៃខ្សែសង្វាក់វាយប្រហារ BYOVD។ ក្របខ័ណ្ឌនេះមានសមត្ថភាពកំណត់អត្តសញ្ញាណ និងកំណត់គោលដៅដំណើរការប្រហែល ៤០០ ដែលទាក់ទងនឹងដំណោះស្រាយសុវត្ថិភាពចំនួន ៤៨ ផ្សេងៗគ្នាពីអ្នកលក់ជាច្រើន។

ការរំលោភបំពានកាន់តែខ្លាំងឡើងលើអ្នកបើកបរដែលងាយរងគ្រោះ

ក្នុងរយៈពេលប៉ុន្មានខែថ្មីៗនេះ ការប្រើប្រាស់កម្មវិធីបញ្ជា PoisonX.sys កាន់តែកើនឡើងនៅក្នុងយុទ្ធនាការ BYOVD ជាច្រើន។ នៅក្នុងឧប្បត្តិហេតុមួយ កម្មវិធីបញ្ជាត្រូវបានប្រើដើម្បីបញ្ចប់វេទិកា CrowdStrike Falcon EDR។ យុទ្ធនាការមួយទៀតពាក់ព័ន្ធនឹងអ្នកវាយប្រហារដែលកេងប្រវ័ញ្ច BeyondTrust Remote Support ដើម្បីដាក់ពង្រាយ ransomware នៅក្នុងបណ្តាញជនរងគ្រោះ បន្ទាប់ពីបានបិទផលិតផលសុវត្ថិភាពជាលើកដំបូងតាមរយៈ PoisonX.sys និង hrwfpdrv.sys។

សូម្បីតែពេលដែលភាពខុសគ្នានៃការដាក់ម៉ាកយីហោ និងការជ្រើសរើសអ្នកបើកបរត្រូវបានដកចេញក៏ដោយ កូដមូលដ្ឋាននៃឃាតករ EDR ទាំងនេះបង្ហាញពីភាពស្រដៀងគ្នានៃរចនាសម្ព័ន្ធ និងអាកប្បកិរិយាយ៉ាងសំខាន់ ដែលបង្ហាញយ៉ាងច្បាស់ពីការប្រើប្រាស់គំរូអភិវឌ្ឍន៍រួម។

ឃាតករ EDR ភាគីទីបីបានរួមបញ្ចូលទៅក្នុងឃ្លាំងអាវុធ

ឧបករណ៍ Gentlemen's រួមបញ្ចូលឧបករណ៍សម្លាប់ EDR ខាងក្រៅជាច្រើនដែលមានមូលដ្ឋានលើ BYOVD៖

• HexKiller (googleApiUtil64.sys) ដែលពីមុនគេជឿថាជាមេរោគផ្តាច់មុខសម្រាប់ក្រុម Warlock ransomware។
• ThrottleBlood (ThrottleBlood.sys) ដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងការវាយប្រហារដែលភ្ជាប់ទៅនឹងសាខា MedusaLocker និង DragonForce និង HavocKiller ឬ HwAudKiller (havoc.sys)។
• OxideHarvest ពង្រីកការគំរាមកំហែងលើសពី Ransomware

ក្រុមអ្នកស្រាវជ្រាវក៏បានកំណត់អត្តសញ្ញាណមេរោគលួចអត្តសញ្ញាណដែលមានមូលដ្ឋានលើ Rust ដែលមានឈ្មោះថា OxideHarvest ដែលត្រូវបានគេស្គាល់ផងដែរថាជា buildx641។ កម្មវិធីលួចនេះមានសមត្ថភាពប្រមូលព័ត៌មានរសើបពីកម្មវិធីរុករកពេញនិយមជាច្រើន រួមមាន៖

Google Chrome, Microsoft Edge, Torch, Comodo, កម្មវិធីរុករកតាមអ៊ីនធឺណិត Epic Privacy, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk និង IceCat។

គំរូកណ្តាលដែលទាក់ទាញសម្ព័ន្ធមិត្ត

ខណៈពេលដែលក្រុម ransomware ជាច្រើនទុកប្រតិបត្តិការ EDR bypass ទៅឱ្យសាខារបស់ពួកគេ The Gentlemen បានជ្រើសរើសធ្វើមជ្ឈិមភាពសមត្ថភាពនេះដោយផ្តល់ឱ្យសាខានូវឈុត EDR-killer ដែលត្រៀមរួចជាស្រេចសម្រាប់ប្រើប្រាស់ និងស្តង់ដារ។ យុទ្ធសាស្ត្រនេះកាត់បន្ថយឧបសគ្គបច្ចេកទេសចំពោះការចូលសម្រាប់សាខាយ៉ាងច្រើន ធ្វើឱ្យការដាក់ពង្រាយ ransomware មានភាពសាមញ្ញ និងបង្កើនភាពទាក់ទាញទាំងមូលនៃប្រតិបត្តិការនៅក្នុងប្រព័ន្ធអេកូឡូស៊ីឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។