GentleKiller Malware Framework

Med Mezo i Advanced Persistent Threat (APT), løsepengeprogramvare

Oversett til:

Gentlemen-operasjonen, som driver ransomware-as-a-service (RaaS), utvikler og vedlikeholder aktivt en omfattende pakke med verktøy for å fjerne endepunkter og respons (EDR) som tilknyttede selskaper kan bruke til å deaktivere sikkerhetsbeskyttelse før de distribuerer ransomware-krypteringsprogrammer.

I sentrum av dette arsenalet finner vi et rammeverk kjent som GentleKiller, støttet av flere tredjeparts- og lekkede verktøy, inkludert HexKiller, ThrottleBlood og HavocKiller. Disse verktøyene er samlet gjennom et felles forsvarsunngåelsesrammeverk som kamuflerer dem som legitime sikkerhetsprodukter ved å bruke falsk versjonsinformasjon, kopierte digitale sertifikater og klonede applikasjonsikoner.

Innholdsfortegnelse

Rask utnyttelse av nylig avslørte sårbarheter

En av gruppens mest bemerkelsesverdige ferdigheter er evnen til raskt å operasjonalisere nylig publiserte konseptutnyttelser (PoC) knyttet til BYOVD-teknikken (Bring Your Own Vulnerable Driver). I mange tilfeller integreres nylig avslørte utnyttelser i gruppens verktøykasse bare noen få dager etter at de blir offentlig tilgjengelige.

Denne strømlinjeformede utviklingsmetoden gir partnere svært effektive verktøy, samtidig som den reduserer utviklingskravene for operatørene selv. Modellen gjør det også mulig for gruppen å kontinuerlig oppdatere arsenalet sitt ved å innlemme nylig misbrukte drivere nesten umiddelbart etter offentliggjøring.

En rask økning i løsepengevirusøkosystemet

Siden oppstarten i mars 2025 har The Gentlemen raskt blitt en av de mest aktive løsepengevirusgruppene i verden. Operasjonen har tatt ansvar for 504 ofre, med de fleste målene lokalisert i Sørøst-Asia, Sør-Amerika og Vest-Europa.

Nyere etterforskninger har identifisert Alexander Andreevich Yapaev, en 36 år gammel russisk statsborger kjent på nett som «hastalamuerte», som lederen for operasjonen. Før han lanserte The Gentlemen, skal han angivelig ha jobbet som tilknyttet flere andre ransomware-programmer, inkludert Qilin.

Avansert EDR-unngåelse gjennom etterligning og binær beskyttelse

The Gentlemen regnes som en av de mest teknisk smidige RaaS-operasjonene som er aktive for tiden. Utviklerne bruker flere teknikker for å sikre at kompilerte EDR-killere unngår deteksjon, inkludert binære beskyttelsesmekanismer og bruk av filnavn som er utformet for å ligne de til kjente leverandører av nettsikkerhet. Bedraget strekker seg til forfalsket versjonsinformasjon, digitale signaturer og applikasjonsikoner.

Det mest brukte verktøyet i arsenalet, GentleKiller, finnes i åtte forskjellige varianter. Hver versjon imiterer et annet legitimt sikkerhetsprodukt og misbruker en separat sårbar eller ondsinnet driver som en del av en BYOVD-angrepskjede. Rammeverket er i stand til å identifisere og målrette omtrent 400 prosesser knyttet til 48 forskjellige sikkerhetsløsninger fra en rekke leverandører.

Det økende misbruket av sårbare sjåfører

De siste månedene har det vært økt misbruk av driveren PoisonX.sys i flere BYOVD-kampanjer. I én hendelse ble driveren brukt til å avslutte CrowdStrike Falcon EDR-plattformen. En annen kampanje involverte angripere som utnyttet BeyondTrust Remote Support til å distribuere ransomware i et offernettverk etter først å ha deaktivert sikkerhetsprodukter via PoisonX.sys og hrwfpdrv.sys.

Selv når forskjeller i merkevarebygging og drivervalg fjernes, viser den underliggende koden til disse EDR-killerne betydelige strukturelle og atferdsmessige likheter, noe som sterkt indikerer bruken av en delt utviklingsmal.

Tredjeparts EDR-drepere integrert i Arsenal

Verktøysettet Gentlemen's inneholder flere eksterne BYOVD-baserte EDR-killere:

HexKiller (googleApiUtil64.sys), tidligere antatt å være eksklusivt for Warlock-ransomware-gruppen.
ThrottleBlood (ThrottleBlood.sys), observert i angrep knyttet til MedusaLocker og DragonForce-tilknyttede selskaper, og HavocKiller eller HwAudKiller (havoc.sys).
OxideHarvest utvider trusselen utover løsepengevirus

Forskere har også identifisert en Rust-basert skadelig programvare som stjeler legitimasjon, kalt OxideHarvest, også kjent som buildx641. Stjeleren er i stand til å samle sensitiv informasjon fra en rekke populære nettlesere, inkludert:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk og IceCat.

En sentralisert modell som tiltrekker seg partnere

Selv om mange ransomware-grupper overlater EDR-omgåelsesoperasjoner til sine partnere, har The Gentlemen valgt å sentralisere denne funksjonaliteten ved å tilby partnere en brukervennlig og standardisert EDR-killer-pakke. Denne strategien senker den tekniske barrieren for partnere betydelig, forenkler utrulling av ransomware og øker den generelle attraktiviteten til operasjonen innenfor det nettkriminelle økosystemet.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region