เฟรมเวิร์กมัลแวร์ GentleKiller

กลุ่มปฏิบัติการแรนซัมแวร์แบบบริการ (RaaS) ของ Gentlemen กำลังพัฒนาและดูแลรักษาชุดเครื่องมือตรวจจับและตอบสนองปลายทาง (EDR) ที่ครอบคลุม ซึ่งพันธมิตรสามารถใช้เพื่อปิดใช้งานการป้องกันความปลอดภัยก่อนที่จะติดตั้งแรนซัมแวร์เข้ารหัสข้อมูล

หัวใจสำคัญของชุดเครื่องมือนี้คือเฟรมเวิร์กที่เรียกว่า GentleKiller ซึ่งได้รับการสนับสนุนจากเครื่องมือของบุคคลที่สามและเครื่องมือที่รั่วไหลออกมาหลายตัว รวมถึง HexKiller, ThrottleBlood และ HavocKiller เครื่องมือเหล่านี้ถูกรวมเข้าด้วยกันผ่านเฟรมเวิร์กการหลบเลี่ยงการป้องกันทั่วไปที่ปลอมแปลงพวกมันให้ดูเหมือนผลิตภัณฑ์รักษาความปลอดภัยที่ถูกต้องตามกฎหมายโดยใช้ข้อมูลเวอร์ชันปลอม ใบรับรองดิจิทัลที่คัดลอกมา และไอคอนแอปพลิเคชันที่ถูกโคลน

การใช้ประโยชน์จากช่องโหว่ที่เพิ่งเปิดเผยอย่างรวดเร็ว

หนึ่งในความสามารถที่โดดเด่นที่สุดของกลุ่มนี้คือความสามารถในการนำเอาช่องโหว่ที่เพิ่งเปิดเผยออกมาใหม่ (Proof-of-Concept หรือ PoC) ซึ่งเกี่ยวข้องกับเทคนิค Bring Your Own Vulnerable Driver (BYOVD) มาใช้งานได้อย่างรวดเร็ว ในหลายกรณี ช่องโหว่ที่เปิดเผยใหม่จะถูกรวมเข้ากับชุดเครื่องมือของกลุ่มภายในเวลาเพียงไม่กี่วันหลังจากที่เผยแพร่สู่สาธารณะ

แนวทางการพัฒนาที่คล่องตัวนี้ช่วยให้พันธมิตรได้รับเครื่องมือที่มีประสิทธิภาพสูง ในขณะเดียวกันก็ลดความต้องการในการพัฒนาสำหรับผู้ดำเนินการเอง นอกจากนี้ รูปแบบนี้ยังช่วยให้กลุ่มสามารถปรับปรุงเครื่องมือที่มีอยู่ได้อย่างต่อเนื่อง โดยการรวมไดรเวอร์ที่ถูกละเมิดรายใหม่เข้ามาเกือบจะทันทีหลังจากมีการเปิดเผยต่อสาธารณะ

การเติบโตอย่างรวดเร็วของระบบนิเวศแรนซัมแวร์

นับตั้งแต่ปรากฏตัวในเดือนมีนาคม 2025 กลุ่มแฮ็ก เกอร์ The Gentlemen ได้กลายเป็นหนึ่งในกลุ่มเรียกค่าไถ่ที่เคลื่อนไหวมากที่สุดในโลกอย่างรวดเร็ว กลุ่มนี้อ้างว่าได้โจมตีเหยื่อไปแล้ว 504 ราย โดยส่วนใหญ่อยู่ในเอเชียตะวันออกเฉียงใต้ อเมริกาใต้ และยุโรปตะวันตก

จากการสืบสวนล่าสุดพบว่า อเล็กซานเดอร์ อันเดรเยวิช ยาปาเยฟ ชายชาวรัสเซียวัย 36 ปี ซึ่งรู้จักกันในโลกออนไลน์ในชื่อ 'hastalamuerte' เป็นหัวหน้าของปฏิบัติการนี้ ก่อนที่จะก่อตั้งกลุ่ม The Gentlemen นั้น มีรายงานว่าเขาเคยทำงานเป็นพันธมิตรให้กับโปรแกรมเรียกค่าไถ่หลายโปรแกรม รวมถึง Qilin ด้วย

การหลบเลี่ยง EDR ขั้นสูงผ่านการปลอมแปลงตัวตนและการป้องกันไบนารี

The Gentlemen ถือเป็นหนึ่งในผู้ให้บริการ RaaS ที่มีความคล่องตัวทางเทคนิคมากที่สุดในปัจจุบัน นักพัฒนาของพวกเขาใช้เทคนิคหลายอย่างเพื่อให้แน่ใจว่าโปรแกรม EDR ที่คอมไพล์แล้วนั้นหลบเลี่ยงการตรวจจับได้ รวมถึงกลไกการป้องกันไบนารีและการใช้ชื่อไฟล์ที่ออกแบบมาให้คล้ายกับชื่อไฟล์ของผู้จำหน่ายด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียง การหลอกลวงนี้ยังขยายไปถึงข้อมูลเวอร์ชันปลอม ลายเซ็นดิจิทัล และไอคอนแอปพลิเคชันด้วย

GentleKiller ซึ่งเป็นเครื่องมือที่ใช้กันอย่างแพร่หลายที่สุดในชุดเครื่องมือนี้ มีอยู่แปดเวอร์ชันที่แตกต่างกัน แต่ละเวอร์ชันเลียนแบบผลิตภัณฑ์รักษาความปลอดภัยที่ถูกต้องตามกฎหมายที่แตกต่างกัน และใช้ประโยชน์จากไดรเวอร์ที่มีช่องโหว่หรือเป็นอันตรายที่แตกต่างกันไป เป็นส่วนหนึ่งของห่วงโซ่การโจมตีแบบ BYOVD (Bring Your Own Device) เฟรมเวิร์กนี้สามารถระบุและกำหนดเป้าหมายกระบวนการได้ประมาณ 400 กระบวนการที่เกี่ยวข้องกับโซลูชันรักษาความปลอดภัย 48 รายการจากผู้จำหน่ายหลายราย

การเอารัดเอาเปรียบผู้ขับขี่ที่อ่อนแอเพิ่มมากขึ้น

ในช่วงหลายเดือนที่ผ่านมา พบว่ามีการใช้ไดรเวอร์ PoisonX.sys ในทางที่ผิดเพิ่มมากขึ้นในแคมเปญ BYOVD หลายแคมเปญ ในเหตุการณ์หนึ่ง ไดรเวอร์นี้ถูกใช้เพื่อยุติการทำงานของแพลตฟอร์ม CrowdStrike Falcon EDR อีกแคมเปญหนึ่งเกี่ยวข้องกับการที่ผู้โจมตีใช้ประโยชน์จาก BeyondTrust Remote Support เพื่อติดตั้งแรนซัมแวร์ในเครือข่ายของเหยื่อ หลังจากที่ปิดใช้งานผลิตภัณฑ์รักษาความปลอดภัยผ่าน PoisonX.sys และ hrwfpdrv.sys ก่อน

แม้ว่าจะตัดความแตกต่างในด้านการสร้างแบรนด์และการคัดเลือกไดรเวอร์ออกไปแล้วก็ตาม รหัสพื้นฐานของโปรแกรมที่ใช้กำจัด EDR เหล่านี้ยังคงแสดงให้เห็นถึงความคล้ายคลึงกันอย่างมีนัยสำคัญทั้งในด้านโครงสร้างและพฤติกรรม ซึ่งบ่งชี้อย่างชัดเจนว่ามีการใช้แม่แบบการพัฒนาเดียวกัน

อุปกรณ์ทำลาย EDR จากผู้ผลิตรายอื่นถูกผสานรวมเข้ากับระบบแล้ว

ชุดเครื่องมือของสุภาพบุรุษประกอบด้วยเครื่องมือทำลาย EDR ภายนอกที่ใช้ BYOVD หลายตัว:

• HexKiller (googleApiUtil64.sys) ซึ่งก่อนหน้านี้เชื่อกันว่าเป็นมัลแวร์เฉพาะกลุ่ม Warlock เท่านั้น
• ThrottleBlood (ThrottleBlood.sys) พบในการโจมตีที่เชื่อมโยงกับ MedusaLocker และกลุ่มพันธมิตรของ DragonForce รวมถึง HavocKiller หรือ HwAudKiller (havoc.sys)
• OxideHarvest ขยายขอบเขตภัยคุกคามไปไกลกว่าแรนซัมแวร์

นักวิจัยยังได้ระบุพบมัลแวร์ขโมยข้อมูลประจำตัวที่เขียนด้วยภาษา Rust ชื่อ OxideHarvest หรือที่รู้จักกันในชื่อ buildx641 มัลแวร์นี้สามารถขโมยข้อมูลสำคัญจากเบราว์เซอร์ยอดนิยมหลายตัว รวมถึง:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk และ IceCat

รูปแบบรวมศูนย์ที่ดึงดูดพันธมิตร

ในขณะที่กลุ่มแรนซัมแวร์หลายกลุ่มปล่อยให้การดำเนินการบายพาส EDR เป็นหน้าที่ของกลุ่มพันธมิตร แต่ The Gentlemen เลือกที่จะรวมศูนย์ความสามารถนี้โดยการจัดเตรียมชุดเครื่องมือทำลาย EDR ที่พร้อมใช้งานและได้มาตรฐานให้กับกลุ่มพันธมิตร กลยุทธ์นี้ช่วยลดอุปสรรคทางเทคนิคสำหรับกลุ่มพันธมิตรอย่างมาก ทำให้การติดตั้งแรนซัมแวร์ง่ายขึ้น และเพิ่มความน่าสนใจโดยรวมของการปฏิบัติการภายในระบบนิเวศของอาชญากรไซเบอร์