Framework pro ochranu proti malwaru GentleKiller

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Ransomware

Přeložit do:

Operace Gentlemen ransomware-as-a-service (RaaS) aktivně vyvíjí a udržuje komplexní sadu nástrojů pro detekci a reakci na koncové body (EDR), které mohou přidružené společnosti použít k deaktivaci bezpečnostních ochranných opatření před nasazením ransomwarových šifrovacích nástrojů.

Ústředním bodem tohoto arzenálu je framework známý jako GentleKiller, podporovaný několika nástroji třetích stran a uniklými nástroji, včetně HexKiller, ThrottleBlood a HavocKiller. Tyto utility jsou sjednoceny prostřednictvím společného frameworku pro obcházení obrany, který je maskuje jako legitimní bezpečnostní produkty pomocí falešných informací o verzi, kopírovaných digitálních certifikátů a klonovaných ikon aplikací.

Obsah

Rychlé zneužití nově odhalených zranitelností

Jednou z nejpozoruhodnějších schopností skupiny je její schopnost rychle operacionalizovat nově publikované exploity typu proof-of-concept (PoC) spojené s technikou Bring Your Own Vulnerable Driver (BYOVD). V mnoha případech jsou nově odhalené exploity integrovány do sady nástrojů skupiny během několika dnů od zveřejnění.

Tento zjednodušený přístup k vývoji poskytuje přidruženým společnostem vysoce efektivní nástroje a zároveň snižuje požadavky na vývoj pro samotné provozovatele. Model také umožňuje skupině průběžně obnovovat svůj arzenál tím, že nově zneužívané ovladače začleňuje téměř okamžitě po zveřejnění.

Rychlý nárůst ekosystému ransomwaru

Od svého vzniku v březnu 2025 se skupina The Gentlemen rychle stala jednou z nejaktivnějších ransomwarových skupin na světě. Operace se přihlásila k odpovědnosti za 504 obětí, přičemž většina cílů se nacházela v jihovýchodní Asii, Jižní Americe a západní Evropě.

Nedávné vyšetřování identifikovalo jako vůdce operace Alexandra Andrejeviče Japajeva, 36letého ruského občana známého online jako „hastalamuerte“. Před spuštěním programu The Gentlemen údajně pracoval jako partner několika dalších ransomwarových programů, včetně Qilinu.

Pokročilé obcházení EDR prostřednictvím zosobnění a binární ochrany

Operace Gentlemen je považována za jednu z technicky nejflexibilnějších RaaS operací, které jsou v současnosti aktivní. Její vývojáři používají řadu technik, aby zajistili, že kompilované EDR killery uniknou detekci, včetně mechanismů binární ochrany a používání názvů souborů navržených tak, aby se podobaly názvům souborů známých dodavatelů kybernetické bezpečnosti. Podvod se rozšiřuje i na padělané informace o verzi, digitální podpisy a ikony aplikací.

Nejrozšířenější nástroj v arzenálu, GentleKiller, existuje v osmi různých variantách. Každá verze napodobuje jiný legitimní bezpečnostní produkt a zneužívá samostatný zranitelný nebo škodlivý ovladač jako součást útočného řetězce BYOVD. Tento framework je schopen identifikovat a zaměřit se na přibližně 400 procesů spojených se 48 různými bezpečnostními řešeními od mnoha dodavatelů.

Rostoucí zneužívání zranitelných řidičů

V posledních měsících došlo ke zvýšenému zneužívání ovladače PoisonX.sys v několika kampaních BYOVD. V jednom případě byl ovladač použit k ukončení platformy CrowdStrike Falcon EDR. Další kampaň zahrnovala útočníky, kteří zneužívali službu BeyondTrust Remote Support k nasazení ransomwaru v síti oběti poté, co nejprve deaktivovali bezpečnostní produkty prostřednictvím PoisonX.sys a hrwfpdrv.sys.

I když se odstraní rozdíly ve značce a výběru ovladačů, základní kód těchto EDR killerů vykazuje významné strukturální a behaviorální podobnosti, což silně naznačuje použití sdílené vývojové šablony.

Zabijáky EDR třetích stran integrované do arzenálu

Sada nástrojů Gentlemen's obsahuje několik externích nástrojů EDR založených na BYOVD:

HexKiller (googleApiUtil64.sys), o kterém se dříve věřilo, že je exkluzivní pro skupinu ransomwaru Warlock.
ThrottleBlood (ThrottleBlood.sys), pozorovaný u útoků spojených s přidruženými společnostmi MedusaLocker a DragonForce, a HavocKiller nebo HwAudKiller (havoc.sys).
OxideHarvest rozšiřuje hrozbu za hranice ransomwaru

Výzkumníci také identifikovali malware OxideHarvest, známý také jako buildx641, který kradne přihlašovací údaje a je založen na platformě Rust. Tento malware dokáže shromažďovat citlivé informace z mnoha populárních prohlížečů, včetně:

Google Chrome, Microsoft Edge, Torch, Comodo, prohlížeč Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk a IceCat.

Centralizovaný model, který přitahuje affiliate partnery

Zatímco mnoho ransomwarových skupin nechává operace obcházení EDR na svých přidružených společnostech, The Gentlemen se rozhodli tuto funkci centralizovat tím, že jim poskytnou standardizovaný balíček nástrojů pro odstranění EDR. Tato strategie výrazně snižuje technické bariéry pro vstup pro přidružené společnosti, zjednodušuje nasazení ransomwaru a zvyšuje celkovou atraktivitu operace v rámci ekosystému kybernetické kriminality.

Procesor plateb společnosti EnigmaSoft Digital River GmbH Vyhlášení bankrotu nemá dopad na ochranu zákazníků SpyHunter proti malwaru

Vyhledávání

Změnit region