Balangkas ng Malware ng GentleKiller
Ang operasyon ng Gentlemen ransomware-as-a-service (RaaS) ay aktibong bumubuo at nagpapanatili ng isang komprehensibong suite ng mga endpoint detection and response (EDR) killing tool na magagamit ng mga affiliate upang i-disable ang mga proteksyon sa seguridad bago mag-deploy ng mga ransomware encryptor.
Sa gitna ng arsenal na ito ay isang framework na kilala bilang GentleKiller, na sinusuportahan ng ilang third-party at leaked na tool, kabilang ang HexKiller, ThrottleBlood, at HavocKiller. Ang mga utility na ito ay pinag-isa sa pamamagitan ng isang karaniwang defense-evasion framework na nagbabalatkayo sa mga ito bilang mga lehitimong produkto ng seguridad sa pamamagitan ng paggamit ng pekeng impormasyon sa bersyon, kinopya na mga digital na sertipiko, at mga cloned na icon ng application.
Talaan ng mga Nilalaman
Mabilis na Pagsasamantala sa mga Bagong Isiniwalat na Kahinaan
Isa sa mga pinakakapansin-pansing kakayahan ng grupo ay ang kakayahan nitong mabilis na gamitin ang mga bagong inilathalang proof-of-concept (PoC) exploit na nauugnay sa pamamaraang Bring Your Own Vulnerable Driver (BYOVD). Sa maraming pagkakataon, ang mga bagong isiniwalat na exploit ay isinasama sa toolkit ng grupo sa loob lamang ng ilang araw pagkatapos maging available sa publiko.
Ang pinasimpleng pamamaraan ng pag-unlad na ito ay nagbibigay sa mga kaakibat ng lubos na mabisang mga kagamitan habang binabawasan ang mga kinakailangan sa pag-unlad para sa mga operator mismo. Binibigyang-daan din ng modelo ang grupo na patuloy na i-refresh ang kanilang arsenal sa pamamagitan ng pagsasama ng mga bagong inabusong drayber halos kaagad pagkatapos ibunyag sa publiko.
Isang Mabilis na Pagtaas sa Ransomware Ecosystem
Simula nang umusbong noong Marso 2025, ang The Gentlemen ay mabilis na naging isa sa mga pinakaaktibong grupo ng ransomware sa buong mundo. Inangkin na ng operasyon ang responsibilidad para sa 504 na biktima, kung saan ang karamihan sa mga target ay matatagpuan sa Timog-silangang Asya, Timog Amerika, at Kanlurang Europa.
Natukoy sa mga kamakailang imbestigasyon si Alexander Andreevich Yapaev, isang 36-taong-gulang na mamamayang Ruso na kilala online bilang 'hastalamuerte,' bilang pinuno ng operasyon. Bago inilunsad ang The Gentlemen, naiulat na nagtrabaho siya bilang isang kaakibat para sa ilang iba pang mga programa ng ransomware, kabilang ang Qilin.
Advanced EDR Evasion sa pamamagitan ng Impersonation at Binary Protection
Ang The Gentlemen ay itinuturing na isa sa mga pinaka-teknolohikal na maliksi na operasyon ng RaaS na kasalukuyang aktibo. Gumagamit ang mga developer nito ng maraming pamamaraan upang matiyak na ang mga pinagsama-samang EDR killer ay hindi matutukoy, kabilang ang mga mekanismo ng binary protection at ang paggamit ng mga filename na idinisenyo upang maging katulad ng sa mga kilalang cybersecurity vendor. Ang panlilinlang ay umaabot sa pekeng impormasyon ng bersyon, mga digital na lagda, at mga icon ng application.
Ang pinakalawak na ginagamit na tool sa arsenal, ang GentleKiller, ay mayroong walong magkakaibang variant. Ang bawat bersyon ay ginagaya ang iba't ibang lehitimong produkto ng seguridad at inaabuso ang isang hiwalay na mahina o malisyosong driver bilang bahagi ng isang BYOVD attack chain. Ang framework ay may kakayahang tukuyin at i-target ang humigit-kumulang 400 na proseso na nauugnay sa 48 iba't ibang solusyon sa seguridad mula sa maraming vendor.
Ang Lumalaking Pang-aabuso sa mga Mahinang Tsuper
Sa mga nakaraang buwan, nakita ang pagtaas ng pang-aabuso sa driver na PoisonX.sys sa maraming kampanya ng BYOVD. Sa isang insidente, ginamit ang driver upang wakasan ang platform ng CrowdStrike Falcon EDR. Ang isa pang kampanya ay kinasasangkutan ng mga umaatake na sinasamantala ang BeyondTrust Remote Support upang mag-deploy ng ransomware sa loob ng network ng isang biktima pagkatapos munang i-disable ang mga produktong pangseguridad sa pamamagitan ng PoisonX.sys at hrwfpdrv.sys.
Kahit na maalis ang mga pagkakaiba sa branding at pagpili ng driver, ang pinagbabatayang code ng mga EDR killer na ito ay nagpapakita ng mga makabuluhang pagkakatulad sa istruktura at pag-uugali, na mariing nagpapahiwatig ng paggamit ng isang shared development template.
Mga Third-Party EDR Killer na Isinama sa Arsenal
Ang toolkit ng mga Ginoo ay naglalaman ng ilang panlabas na BYOVD-based EDR killers:
- Ang HexKiller (googleApiUtil64.sys), na dating pinaniniwalaang eksklusibo lamang sa grupong Warlock ransomware.
- ThrottleBlood (ThrottleBlood.sys), naobserbahan sa mga pag-atakeng naka-link sa mga kaakibat ng MedusaLocker at DragonForce, at HavocKiller o HwAudKiller (havoc.sys).
- Pinalalawak ng OxideHarvest ang Banta Higit Pa sa Ransomware
Natukoy din ng mga mananaliksik ang isang malware na nagnanakaw ng kredensyal batay sa Rust na tinatawag na OxideHarvest, na kilala rin bilang buildx641. Ang magnanakaw ay may kakayahang kumuha ng sensitibong impormasyon mula sa maraming sikat na browser, kabilang ang:
Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk, at IceCat.
Isang Sentralisadong Modelo na Umaakit ng mga Kaakibat
Bagama't maraming grupo ng ransomware ang nag-iiwan ng mga operasyon ng EDR bypass sa kanilang mga kaakibat, pinili ng The Gentlemen na isentralisa ang kakayahang ito sa pamamagitan ng pagbibigay sa mga kaakibat ng isang handa nang gamitin at istandardisadong EDR-killer suite. Ang estratehiyang ito ay lubos na nagpapababa sa teknikal na hadlang sa pagpasok para sa mga kaakibat, nagpapadali sa pag-deploy ng ransomware, at nagpapataas ng pangkalahatang pagiging kaakit-akit ng operasyon sa loob ng cybercriminal ecosystem.