Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) GentleKiller Malware Framework

GentleKiller Malware Framework

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Ransomware
Vertalen naar:

De Gentlemen ransomware-as-a-service (RaaS)-operatie ontwikkelt en onderhoudt actief een uitgebreide reeks tools voor endpointdetectie en -respons (EDR) waarmee aangesloten partijen beveiligingsmaatregelen kunnen uitschakelen voordat ransomware-versleutelaars worden ingezet.

Centraal in dit arsenaal staat een framework genaamd GentleKiller, ondersteund door verschillende tools van derden en gelekte programma's, waaronder HexKiller, ThrottleBlood en HavocKiller. Deze hulpprogramma's zijn verenigd door een gemeenschappelijk framework voor het omzeilen van beveiligingsmaatregelen, waardoor ze zich voordoen als legitieme beveiligingsproducten door gebruik te maken van valse versie-informatie, gekopieerde digitale certificaten en gekloonde applicatiepictogrammen.

Snelle exploitatie van recent ontdekte kwetsbaarheden

Een van de meest opvallende capaciteiten van de groep is het vermogen om snel nieuwe proof-of-concept (PoC) exploits te implementeren die verband houden met de Bring Your Own Vulnerable Driver (BYOVD)-techniek. In veel gevallen worden nieuw onthulde exploits binnen enkele dagen na publicatie in de toolkit van de groep opgenomen.

Deze gestroomlijnde ontwikkelingsaanpak biedt aangesloten bedrijven zeer effectieve tools en vermindert tegelijkertijd de ontwikkelingsvereisten voor de beheerders zelf. Het model stelt de groep ook in staat om haar aanbod continu te vernieuwen door nieuwe, misbruikte drivers vrijwel direct na de openbare bekendmaking toe te voegen.

Een snelle groei van het ransomware-ecosysteem

Sinds de oprichting in maart 2025 is The Gentlemen snel uitgegroeid tot een van de meest actieve ransomwaregroepen ter wereld. De groep heeft 504 slachtoffers gemaakt, voornamelijk in Zuidoost-Azië, Zuid-Amerika en West-Europa.

Recent onderzoek heeft Alexander Andreevich Yapaev, een 36-jarige Rus die online bekend staat als 'hastalamuerte', geïdentificeerd als de leider van de operatie. Voordat hij The Gentlemen lanceerde, zou hij als medewerker hebben gewerkt voor verschillende andere ransomwareprogramma's, waaronder Qilin.

Geavanceerde EDR-ontwijking door middel van imitatie en binaire beveiliging.

The Gentlemen wordt beschouwd als een van de technisch meest behendige RaaS-aanbieders die momenteel actief zijn. De ontwikkelaars gebruiken diverse technieken om ervoor te zorgen dat gecompileerde EDR-killers detectie ontwijken, waaronder binaire beveiligingsmechanismen en het gebruik van bestandsnamen die lijken op die van bekende cybersecurityleveranciers. De misleiding strekt zich uit tot vervalste versie-informatie, digitale handtekeningen en applicatiepictogrammen.

De meest gebruikte tool in het arsenaal, GentleKiller, bestaat in acht verschillende varianten. Elke versie imiteert een ander legitiem beveiligingsproduct en misbruikt een afzonderlijke kwetsbare of kwaadaardige driver als onderdeel van een BYOVD-aanvalsketen. Het framework is in staat om ongeveer 400 processen te identificeren en aan te vallen die gekoppeld zijn aan 48 verschillende beveiligingsoplossingen van diverse leveranciers.

Het toenemende misbruik van kwetsbare bestuurders

De afgelopen maanden is er een toename te zien in het misbruik van de driver PoisonX.sys in meerdere BYOVD-campagnes. In één incident werd de driver gebruikt om het CrowdStrike Falcon EDR-platform uit te schakelen. In een andere campagne maakten aanvallers misbruik van BeyondTrust Remote Support om ransomware te verspreiden binnen een slachtoffernetwerk, nadat ze eerst beveiligingsproducten hadden uitgeschakeld met behulp van PoisonX.sys en hrwfpdrv.sys.

Zelfs wanneer verschillen in merk en chauffeursselectie worden weggenomen, vertoont de onderliggende code van deze EDR-killers aanzienlijke structurele en gedragsmatige overeenkomsten, wat sterk wijst op het gebruik van een gedeeld ontwikkelingssjabloon.

EDR-killers van derden geïntegreerd in het Arsenal.

De toolkit van de Gentlemen bevat verschillende externe, op BYOVD gebaseerde EDR-killers:

  • HexKiller (googleApiUtil64.sys), waarvan eerder werd aangenomen dat het exclusief was voor de Warlock ransomwaregroep.
  • ThrottleBlood (ThrottleBlood.sys), waargenomen bij aanvallen die verband houden met MedusaLocker en aan DragonForce gelieerde bedrijven, en HavocKiller of HwAudKiller (havoc.sys).
  • OxideHarvest breidt de dreiging uit tot buiten ransomware.

Onderzoekers hebben ook een op Rust gebaseerde malware geïdentificeerd die inloggegevens steelt, genaamd OxideHarvest, ook bekend als buildx641. Deze malware is in staat gevoelige informatie te verzamelen uit tal van populaire browsers, waaronder:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk en IceCat.

Een gecentraliseerd model dat partners aantrekt.

Hoewel veel ransomwaregroepen het omzeilen van EDR-beveiliging overlaten aan hun partners, heeft The Gentlemen ervoor gekozen deze mogelijkheid te centraliseren door partners een kant-en-klare en gestandaardiseerde EDR-killer suite aan te bieden. Deze strategie verlaagt de technische drempel voor partners aanzienlijk, vereenvoudigt de inzet van ransomware en verhoogt de aantrekkelijkheid van de operatie binnen het cybercriminele ecosysteem.

Meest bekeken

Bezig met laden...