Cadrul de malware GentleKiller

Până în Mezo în Amenințare persistentă avansată (APT), Ransomware

Tradu in:

Operațiunea Gentlemen ransomware-as-a-service (RaaS) dezvoltă și întreține activ o suită completă de instrumente de detecție și răspuns la endpoint-uri (EDR) pe care afiliații le pot utiliza pentru a dezactiva protecțiile de securitate înainte de a implementa criptoare ransomware.

În centrul acestui arsenal se află un framework cunoscut sub numele de GentleKiller, susținut de mai multe instrumente terțe și divulgate publicității, inclusiv HexKiller, ThrottleBlood și HavocKiller. Aceste utilitare sunt unificate printr-un framework comun de evitare a apărării care le deghizează în produse de securitate legitime prin utilizarea de informații false despre versiuni, certificate digitale copiate și pictograme de aplicații clonate.

Cuprins

Exploatarea rapidă a vulnerabilităților recent dezvăluite

Una dintre cele mai notabile capacități ale grupului este abilitatea sa de a operaționaliza rapid exploatările proof-of-concept (PoC) recent publicate, asociate cu tehnica Bring Your Own Vulnerable Driver (BYOVD). În multe cazuri, exploatările recent dezvăluite sunt integrate în setul de instrumente al grupului în doar câteva zile de la apariția publicului.

Această abordare simplificată a dezvoltării oferă afiliaților instrumente extrem de eficiente, reducând în același timp cerințele de dezvoltare pentru operatorii înșiși. Modelul permite, de asemenea, grupului să își reîmprospăteze continuu arsenalul prin încorporarea șoferilor noi abuzați aproape imediat după dezvăluirea publică.

O creștere rapidă a ecosistemului ransomware

De la apariția sa în martie 2025, The Gentlemen a devenit rapid unul dintre cele mai active grupuri ransomware din lume. Operațiunea a revendicat responsabilitatea pentru 504 victime, majoritatea țintelor fiind situate în Asia de Sud-Est, America de Sud și Europa de Vest.

Investigațiile recente l-au identificat pe Alexander Andreevich Yapaev, un cetățean rus în vârstă de 36 de ani, cunoscut online sub numele de „hastalamuerte”, drept liderul operațiunii. Înainte de a lansa The Gentlemen, se pare că a lucrat ca afiliat pentru alte câteva programe ransomware, inclusiv Qilin.

Evitarea EDR avansată prin uzurpare de identitate și protecție binară

The Gentlemen este considerată una dintre cele mai agile operațiuni RaaS active în prezent. Dezvoltatorii săi utilizează multiple tehnici pentru a se asigura că killer-ii EDR compilați evită detectarea, inclusiv mecanisme de protecție binară și utilizarea de nume de fișiere concepute să semene cu cele ale unor furnizori de securitate cibernetică cunoscuți. Înșelăciunea se extinde la informații despre versiuni falsificate, semnături digitale și pictograme de aplicații.

Cel mai utilizat instrument din arsenal, GentleKiller, există în opt variante distincte. Fiecare versiune imită un produs de securitate legitim diferit și abuzează de un driver vulnerabil sau rău intenționat separat, ca parte a unui lanț de atac BYOVD. Framework-ul este capabil să identifice și să vizeze aproximativ 400 de procese asociate cu 48 de soluții de securitate diferite de la numeroși furnizori.

Abuzul tot mai mare al șoferilor vulnerabili

În ultimele luni s-a înregistrat o creștere a abuzului de driver PoisonX.sys în mai multe campanii BYOVD. Într-un incident, driverul a fost folosit pentru a termina platforma CrowdStrike Falcon EDR. O altă campanie a implicat atacatori care au exploatat BeyondTrust Remote Support pentru a implementa ransomware în rețeaua victimei, după ce au dezactivat mai întâi produsele de securitate prin PoisonX.sys și hrwfpdrv.sys.

Chiar și atunci când diferențele de branding și de selecție a driverelor sunt eliminate, codul subiacent al acestor killer-i EDR demonstrează asemănări structurale și comportamentale semnificative, indicând puternic utilizarea unui șablon de dezvoltare partajat.

Killer-uri EDR terțe integrate în Arsenal

Trusa de instrumente Gentlemen's încorporează mai multe dispozitive de eliminare EDR externe bazate pe BYOVD:

HexKiller (googleApiUtil64.sys), despre care se credea anterior că era exclusiv grupului de ransomware Warlock.
ThrottleBlood (ThrottleBlood.sys), observat în atacuri legate de afiliații MedusaLocker și DragonForce, și HavocKiller sau HwAudKiller (havoc.sys).
OxideHarvest extinde amenințarea dincolo de ransomware

Cercetătorii au identificat, de asemenea, un malware bazat pe Rust, numit OxideHarvest, cunoscut și sub numele de buildx641. Furtul de informații este capabil să colecteze informații sensibile din numeroase browsere populare, inclusiv:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk și IceCat.

Un model centralizat care atrage afiliați

În timp ce multe grupuri de ransomware lasă operațiunile de ocolire EDR în seama afiliaților lor, The Gentlemen a ales să centralizeze această capacitate oferind afiliaților o suită de eliminare EDR standardizată și gata de utilizare. Această strategie reduce semnificativ bariera tehnică de acces pentru afiliați, simplifică implementarea ransomware și crește atractivitatea generală a operațiunii în cadrul ecosistemului infracțional cibernetic.

Procesorul de plăți de la EnigmaSoft Digital River GmbH Depunerea de faliment nu afectează protecția anti-malware a clienților SpyHunter

Căutare

Schimbați regiunea