जेन्टलकिलर मालवेयर फ्रेमवर्क

जेन्टलमेन र्यान्समवेयर-एज-ए-सर्भिस (RaaS) अपरेशनले सक्रिय रूपमा एन्डपोइन्ट डिटेक्शन एण्ड रेस्पोन्स (EDR) किलिंग उपकरणहरूको एक व्यापक सुइट विकास र मर्मत गरिरहेको छ जुन सम्बद्धहरूले र्यान्समवेयर इन्क्रिप्टरहरू तैनाथ गर्नु अघि सुरक्षा सुरक्षाहरू असक्षम गर्न प्रयोग गर्न सक्छन्।

यस शस्त्रागारको केन्द्रमा जेन्टलकिलर भनेर चिनिने फ्रेमवर्क छ, जसलाई हेक्सकिलर, थ्रोटलब्लड, र ह्याभोककिलर लगायत धेरै तेस्रो-पक्ष र लीक भएका उपकरणहरूद्वारा समर्थित छ। यी उपयोगिताहरू एक साझा रक्षा-चलाउने फ्रेमवर्क मार्फत एकीकृत छन् जसले नक्कली संस्करण जानकारी, प्रतिलिपि गरिएको डिजिटल प्रमाणपत्रहरू, र क्लोन गरिएका अनुप्रयोग आइकनहरू प्रयोग गरेर तिनीहरूलाई वैध सुरक्षा उत्पादनहरूको रूपमा लुकाउँछ।

नयाँ खुलासा गरिएका जोखिमहरूको तीव्र शोषण

समूहको सबैभन्दा उल्लेखनीय क्षमताहरू मध्ये एक भनेको ब्रिङ योर ओन भल्नेरेबल ड्राइभर (BYOVD) प्रविधिसँग सम्बन्धित नयाँ प्रकाशित प्रुफ-अफ-कन्सेप्ट (PoC) शोषणहरूलाई द्रुत रूपमा सञ्चालन गर्ने क्षमता हो। धेरै अवस्थामा, नयाँ खुलासा गरिएका शोषणहरू सार्वजनिक रूपमा उपलब्ध भएको केही दिन भित्रै समूहको टुलकिटमा एकीकृत हुन्छन्।

यो सुव्यवस्थित विकास दृष्टिकोणले सम्बद्धहरूलाई अत्यधिक प्रभावकारी उपकरणहरू प्रदान गर्दछ जबकि अपरेटरहरूको लागि विकास आवश्यकताहरू कम गर्दछ। यो मोडेलले समूहलाई सार्वजनिक खुलासा भएको लगभग तुरुन्तै नयाँ दुर्व्यवहार गरिएका चालकहरूलाई समावेश गरेर आफ्नो शस्त्रागारलाई निरन्तर ताजा गर्न सक्षम बनाउँछ।

र्‍यान्समवेयर इकोसिस्टममा तीव्र वृद्धि

मार्च २०२५ मा देखा परेदेखि, द जेन्टलमेन चाँडै नै विश्वभरि सबैभन्दा सक्रिय र्यान्समवेयर समूहहरू मध्ये एक बनेको छ। यस अपरेशनले ५०४ पीडितहरूको जिम्मेवारी लिएको छ, जसमध्ये अधिकांश दक्षिणपूर्व एशिया, दक्षिण अमेरिका र पश्चिमी युरोपभरि अवस्थित छन्।

हालैका अनुसन्धानहरूले अनलाइनमा 'हस्तालामुएर्टे' भनेर चिनिने ३६ वर्षीय रूसी नागरिक अलेक्ज्याण्डर एन्ड्रीभिच यापेभलाई उक्त अपरेशनको नेताको रूपमा पहिचान गरेको छ। द जेन्टलमेन सुरु गर्नुअघि, उनले किलिन सहित धेरै अन्य र्‍यान्समवेयर कार्यक्रमहरूको लागि सम्बद्धको रूपमा काम गरेको बताइएको छ।

प्रतिरूपण र बाइनरी सुरक्षा मार्फत उन्नत EDR चोरी

जेन्टलमेनलाई हाल सक्रिय सबैभन्दा प्राविधिक रूपमा चुस्त RaaS अपरेशनहरू मध्ये एक मानिन्छ। यसका विकासकर्ताहरूले कम्पाइल गरिएका EDR किलरहरू पत्ता लगाउनबाट बच्न धेरै प्रविधिहरू प्रयोग गर्छन्, जसमा बाइनरी सुरक्षा संयन्त्रहरू र प्रख्यात साइबर सुरक्षा विक्रेताहरूको जस्तै डिजाइन गरिएका फाइलनामहरूको प्रयोग समावेश छ। यो धोखाधडी नक्कली संस्करण जानकारी, डिजिटल हस्ताक्षरहरू, र अनुप्रयोग आइकनहरूमा फैलिएको छ।

शस्त्रागारमा सबैभन्दा धेरै प्रयोग हुने उपकरण, जेन्टलकिलर, आठ फरक भेरियन्टहरूमा अवस्थित छ। प्रत्येक संस्करणले फरक वैध सुरक्षा उत्पादनको नक्कल गर्दछ र BYOVD आक्रमण श्रृंखलाको भागको रूपमा छुट्टै कमजोर वा दुर्भावनापूर्ण चालकको दुरुपयोग गर्दछ। यो फ्रेमवर्कले धेरै विक्रेताहरूबाट ४८ फरक सुरक्षा समाधानहरूसँग सम्बन्धित लगभग ४०० प्रक्रियाहरू पहिचान गर्न र लक्षित गर्न सक्षम छ।

कमजोर चालकहरूको बढ्दो दुर्व्यवहार

हालैका महिनाहरूमा धेरै BYOVD अभियानहरूमा चालक PoisonX.sys को दुरुपयोग बढेको देखिएको छ। एउटा घटनामा, चालकलाई CrowdStrike Falcon EDR प्लेटफर्म समाप्त गर्न प्रयोग गरिएको थियो। अर्को अभियानमा आक्रमणकारीहरूले PoisonX.sys र hrwfpdrv.sys मार्फत सुरक्षा उत्पादनहरू असक्षम पारेपछि पीडित नेटवर्क भित्र ransomware तैनाथ गर्न BeyondTrust रिमोट सपोर्टको शोषण गर्ने समावेश थियो।

ब्रान्डिङ र ड्राइभर छनोटमा भिन्नताहरू हटाइए पनि, यी EDR किलरहरूको अन्तर्निहित कोडले महत्त्वपूर्ण संरचनात्मक र व्यवहारिक समानताहरू प्रदर्शन गर्दछ, जसले साझा विकास टेम्प्लेटको प्रयोगलाई दृढतापूर्वक संकेत गर्दछ।

तेस्रो-पक्ष EDR हत्याराहरू आर्सनलमा एकीकृत

जेन्टलमेनको टुलकिटमा धेरै बाह्य BYOVD-आधारित EDR किलरहरू समावेश छन्:

• हेक्सकिलर (googleApiUtil64.sys), पहिले वारलक र्‍यान्समवेयर समूहको लागि मात्र विशेष मानिन्थ्यो।
• थ्रोटलब्लड (थ्रोटलब्लड.एसआईएस), मेडुसालकर र ड्र्यागनफोर्स सम्बद्ध कम्पनीहरू, र ह्याभोककिलर वा एचडब्ल्यूअडकिलर (हाभोक.एसआईएस) सँग सम्बन्धित आक्रमणहरूमा अवलोकन गरिएको।
• अक्साइडहार्वेस्टले र्‍यान्समवेयरभन्दा बाहिरको खतरालाई विस्तार गर्छ

अनुसन्धानकर्ताहरूले अक्साइडहार्वेस्ट नामक रस्ट-आधारित क्रेडेन्सियल-स्टीलिङ मालवेयर पनि पहिचान गरेका छन्, जसलाई buildx641 पनि भनिन्छ। चोरी गर्ने व्यक्तिले धेरै लोकप्रिय ब्राउजरहरूबाट संवेदनशील जानकारी सङ्कलन गर्न सक्षम छ, जसमा समावेश छन्:

गुगल क्रोम, माइक्रोसफ्ट एज, टर्च, कोमोडो, एपिक प्राइभेसी ब्राउजर, भिभाल्डी, ब्रेभ, ओपेरा, ओपेराजीएक्स, मोजिला फायरफक्स, वाटरफक्स, ब्ल्याकहक, र आइसक्याट।

सम्बद्धहरूलाई आकर्षित गर्ने केन्द्रीकृत मोडेल

धेरै ransomware समूहहरूले EDR बाइपास अपरेसनहरू आफ्ना सम्बद्धहरूलाई छोड्छन्, The Gentlemen ले सम्बद्धहरूलाई प्रयोग गर्न तयार र मानकीकृत EDR-किलर सुइट प्रदान गरेर यो क्षमतालाई केन्द्रीकृत गर्ने छनौट गरेको छ। यो रणनीतिले सम्बद्धहरूको लागि प्रवेशमा प्राविधिक अवरोधलाई उल्लेखनीय रूपमा कम गर्छ, ransomware तैनातीलाई सरल बनाउँछ, र साइबर आपराधिक इकोसिस्टम भित्र सञ्चालनको समग्र आकर्षण बढाउँछ।