Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) Рамка за зловреден софтуер GentleKiller

Рамка за зловреден софтуер GentleKiller

До Mezo през Усъвършенствана постоянна заплаха (APT), Ransomwareг
Превод на:

Операцията Gentlemen ransomware-as-a-service (RaaS) активно разработва и поддържа цялостен набор от инструменти за откриване и реагиране на крайни точки (EDR), които филиалите могат да използват, за да деактивират защитите за сигурност, преди да внедрят криптиращи програми за ransomware.

В центъра на този арсенал е платформата, известна като GentleKiller, поддържана от няколко инструмента на трети страни и такива, чиято информация е била разкрита в медиите, включително HexKiller, ThrottleBlood и HavocKiller. Тези инструменти са обединени чрез обща система за избягване на защита, която ги маскира като легитимни продукти за сигурност, като използва фалшива информация за версията, копирани цифрови сертификати и клонирани икони на приложения.

Бърза експлоатация на новоразкрити уязвимости

Една от най-забележителните възможности на групата е способността ѝ бързо да внедрява новопубликувани експлойти за проверка на концепцията (PoC), свързани с техниката „Донеси свой собствен уязвим драйвер“ (BYOVD). В много случаи новоразкритите експлойти се интегрират в инструментариума на групата само в рамките на няколко дни след като станат публично достъпни.

Този рационализиран подход за разработка предоставя на филиалите високоефективни инструменти, като същевременно намалява изискванията за разработка за самите оператори. Моделът също така позволява на групата непрекъснато да обновява арсенала си, като включва новопоявили се злоупотреби драйвери почти веднага след публичното им разкриване.

Бърз възход на екосистемата от рансъмуер

От появата си през март 2025 г., The Gentlemen бързо се превърна в една от най-активните групи за рансъмуер в световен мащаб. Операцията е поела отговорност за 504 жертви, като по-голямата част от целите са разположени в Югоизточна Азия, Южна Америка и Западна Европа.

Последните разследвания идентифицираха Александър Андреевич Япаев, 36-годишен руски гражданин, известен онлайн като „hastalamuerte“, като лидер на операцията. Преди да стартира The Gentlemen, той е работил като партньор на няколко други ransomware програми, включително Qilin.

Разширено избягване на EDR чрез имперсонация и двоична защита

„Джентълмените“ се считат за една от най-технически гъвкавите RaaS операции, активни в момента. Разработчиците им използват множество техники, за да гарантират, че компилираните EDR убийци избягват откриването, включително механизми за двоична защита и използване на имена на файлове, предназначени да наподобяват тези на известни доставчици на киберсигурност. Измамата се простира до фалшифицирана информация за версията, цифрови подписи и икони на приложения.

Най-широко използваният инструмент в арсенала, GentleKiller, съществува в осем различни варианта. Всяка версия имитира различен легитимен продукт за сигурност и злоупотребява с отделен уязвим или злонамерен драйвер като част от верига за атака BYOVD. Рамката е способна да идентифицира и атакува приблизително 400 процеса, свързани с 48 различни решения за сигурност от множество доставчици.

Нарастващата злоупотреба с уязвими шофьори

През последните месеци се наблюдава засилена злоупотреба с драйвера PoisonX.sys в множество BYOVD кампании. В един от инцидентите драйверът е бил използван за прекратяване на платформата CrowdStrike Falcon EDR. Друга кампания включваше нападатели, използващи BeyondTrust Remote Support, за да внедрят ransomware в мрежата на жертвата, след като първо деактивират продукти за сигурност чрез PoisonX.sys и hrwfpdrv.sys.

Дори когато разликите в брандирането и избора на драйвери бъдат премахнати, основният код на тези EDR убийци демонстрира значителни структурни и поведенчески сходства, което силно показва използването на споделен шаблон за разработка.

Убийци на EDR от трети страни, интегрирани в арсенала

Инструментариумът на Gentlemen's включва няколко външни EDR убийци, базирани на BYOVD:

  • HexKiller (googleApiUtil64.sys), за който преди се смяташе, че е ексклузивен за групата Warlock ransomware.
  • ThrottleBlood (ThrottleBlood.sys), наблюдаван при атаки, свързани с филиали на MedusaLocker и DragonForce, и HavocKiller или HwAudKiller (havoc.sys).
  • OxideHarvest разширява заплахата отвъд рансъмуера

Изследователите са идентифицирали и злонамерен софтуер, базиран на Rust, наречен OxideHarvest, известен още като buildx641. Програмата е способна да събира чувствителна информация от множество популярни браузъри, включително:

Google Chrome, Microsoft Edge, Torch, Comodo, браузър за поверителност Epic, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk и IceCat.

Централизиран модел, който привлича партньори

Докато много групи за рансъмуер оставят операциите по заобикаляне на EDR на своите филиали, The Gentlemen избраха да централизират тази възможност, като предоставят на филиалите готов за употреба и стандартизиран пакет за премахване на EDR. Тази стратегия значително намалява техническата бариера за навлизане на филиалите, опростява внедряването на рансъмуер и увеличава цялостната привлекателност на операцията в рамките на киберпрестъпната екосистема.

Зареждане...