GentleKiller оквир за злонамерни софтвер

Операција Gentlemen ransomware-as-a-service (RaaS) активно развија и одржава свеобухватни пакет алата за откривање и реаговање на крајње тачке (EDR) које филијале могу користити за онемогућавање безбедносне заштите пре примене ransomware шифратора.

У средишту овог арсенала је фрејмворк познат као GentleKiller, који подржава неколико алата трећих страна и процурелих алата, укључујући HexKiller, ThrottleBlood и HavocKiller. Ови услужни програми су обједињени кроз заједнички оквир за избегавање одбране који их прикрива као легитимне безбедносне производе користећи лажне информације о верзији, копиране дигиталне сертификате и клониране иконе апликација.

Брзо искоришћавање новооткривених рањивости

Једна од најзначајнијих способности групе је њена способност да брзо операционализује новообјављене експлоите доказа концепта (PoC) повезане са техником „Донеси свој рањиви драјвер“ (BYOVD). У многим случајевима, новооткривени експлоити се интегришу у алате групе у року од само неколико дана од када постану јавно доступни.

Овај поједностављени приступ развоју пружа партнерима веома ефикасне алате, а истовремено смањује захтеве за развој за саме оператере. Модел такође омогућава групи да континуирано освежава свој арсенал укључивањем новозлоупотребљених возача готово одмах након јавног објављивања.

Брзи пораст екосистема рансомвера

Од појаве у марту 2025. године, група „Џентлмени“ је брзо постала једна од најактивнијих група за рансомвер широм света. Операција је преузела одговорност за 504 жртве, а већина мета се налази у југоисточној Азији, Јужној Америци и Западној Европи.

Недавне истраге су идентификовале Александра Андрејевича Јапајева, 36-годишњег руског држављанина познатог на интернету као „hastalamuerte“, као вођу операције. Пре покретања програма „Џентлмени“, наводно је радио као сарадник за неколико других програма за рансомвер, укључујући и Qilin.

Напредно избегавање EDR-а путем персонификације и бинарне заштите

„Џентлмен“ се сматра једном од технички најагилнијих RaaS операција које су тренутно активне. Његови програмери користе вишеструке технике како би осигурали да компајлирани EDR убице избегну откривање, укључујући механизме бинарне заштите и коришћење имена датотека дизајнираних да подсећају на имена познатих добављача сајбер безбедности. Обмана се протеже на фалсификоване информације о верзији, дигиталне потписе и иконе апликација.

Најшире коришћени алат у арсеналу, GentleKiller, постоји у осам различитих варијанти. Свака верзија имитира другачији легитимни безбедносни производ и злоупотребљава посебан рањив или злонамерни драјвер као део BYOVD ланца напада. Оквир је способан да идентификује и циља приближно 400 процеса повезаних са 48 различитих безбедносних решења од бројних добављача.

Растућа злоупотреба рањивих возача

Последњих месеци дошло је до повећане злоупотребе драјвера PoisonX.sys у више BYOVD кампања. У једном инциденту, драјвер је коришћен за прекид рада CrowdStrike Falcon EDR платформе. Друга кампања је укључивала нападаче који су искористили BeyondTrust Remote Support за распоређивање ransomware-а унутар мреже жртве након што су прво онемогућили безбедносне производе путем PoisonX.sys и hrwfpdrv.sys.

Чак и када се уклоне разлике у брендирању и избору драјвера, основни код ових EDR убица показује значајне структурне и бихевиоралне сличности, што снажно указује на употребу заједничког развојног шаблона.

Убице EDR-а треће стране интегрисане у арсенал

Комплет алата за џентлмене укључује неколико екстерних EDR убица заснованих на BYOVD-у:

• HexKiller (googleApiUtil64.sys), за који се раније веровало да је ексклузиван за Warlock ransomware групу.
• ThrottleBlood (ThrottleBlood.sys), примећен у нападима повезаним са филијалама MedusaLocker и DragonForce, и HavocKiller или HwAudKiller (havoc.sys).
• ОксидХарвест проширује претњу изван рансомвера

Истраживачи су такође идентификовали злонамерни софтвер за крађу акредитива заснован на Rust-у, под називом OxideHarvest, познат и као buildx641. Овај злонамерни софтвер је способан да прикупља осетљиве информације из бројних популарних прегледача, укључујући:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, Blackhawk и IceCat.

Централизовани модел који привлачи партнере

Док многе групе за заштиту од рансомвера препуштају операције заобилажења EDR-а својим сарадницима, организација The Gentlemen је одлучила да централизује ову могућност пружајући сарадницима готов и стандардизован пакет за убијање EDR-а. Ова стратегија значајно смањује техничку баријеру за улазак сарадника, поједностављује распоређивање рансомвера и повећава укупну атрактивност операције унутар сајбер криминалног екосистема.