Πλαίσιο κακόβουλου λογισμικού GentleKiller

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Ransomware

Μετάφραση σε:

Η επιχείρηση Gentlemen ransomware-as-a-service (RaaS) αναπτύσσει και συντηρεί ενεργά μια ολοκληρωμένη σουίτα εργαλείων ανίχνευσης και απόκρισης τελικών σημείων (EDR) που μπορούν να χρησιμοποιήσουν οι συνεργάτες για να απενεργοποιήσουν τις προστασίες ασφαλείας πριν από την ανάπτυξη κρυπτογραφητών ransomware.

Στο κέντρο αυτού του οπλοστασίου βρίσκεται ένα πλαίσιο γνωστό ως GentleKiller, το οποίο υποστηρίζεται από διάφορα εργαλεία τρίτων και διαρροών, όπως τα HexKiller, ThrottleBlood και HavocKiller. Αυτά τα βοηθητικά προγράμματα ενοποιούνται μέσω ενός κοινού πλαισίου άμυνας-αποφυγής που τα μεταμφιέζει ως νόμιμα προϊόντα ασφαλείας χρησιμοποιώντας ψεύτικες πληροφορίες έκδοσης, αντιγραμμένα ψηφιακά πιστοποιητικά και κλωνοποιημένα εικονίδια εφαρμογών.

Πίνακας περιεχομένων

Ταχεία εκμετάλλευση πρόσφατα αποκαλυφθέντων ευπαθειών

Μία από τις πιο αξιοσημείωτες δυνατότητες της ομάδας είναι η ικανότητά της να θέτει σε λειτουργία γρήγορα πρόσφατα δημοσιευμένα exploits proof-of-concept (PoC) που σχετίζονται με την τεχνική Bring Your Own Vulnerable Driver (BYOVD). Σε πολλές περιπτώσεις, τα πρόσφατα αποκαλυπτόμενα exploits ενσωματώνονται στην εργαλειοθήκη της ομάδας μέσα σε λίγες μόνο ημέρες από τη στιγμή που θα γίνουν δημόσια διαθέσιμα.

Αυτή η βελτιστοποιημένη προσέγγιση ανάπτυξης παρέχει στους συνεργάτες εξαιρετικά αποτελεσματικά εργαλεία, μειώνοντας παράλληλα τις απαιτήσεις ανάπτυξης για τους ίδιους τους χειριστές. Το μοντέλο επιτρέπει επίσης στον όμιλο να ανανεώνει συνεχώς το οπλοστάσιό του ενσωματώνοντας νέους οδηγούς που έχουν υποστεί κακή χρήση σχεδόν αμέσως μετά τη δημόσια γνωστοποίηση.

Μια ραγδαία άνοδος στο οικοσύστημα των ransomware

Από την εμφάνισή τους τον Μάρτιο του 2025, οι The Gentlemen έχουν γίνει γρήγορα μια από τις πιο ενεργές ομάδες ransomware παγκοσμίως. Η επιχείρηση έχει αναλάβει την ευθύνη για 504 θύματα, με την πλειονότητα των στόχων να βρίσκονται στη Νοτιοανατολική Ασία, τη Νότια Αμερική και τη Δυτική Ευρώπη.

Πρόσφατες έρευνες έχουν εντοπίσει τον Alexander Andreevich Yapaev, έναν 36χρονο Ρώσο υπήκοο, γνωστό στο διαδίκτυο ως «hastalamuerte», ως τον επικεφαλής της επιχείρησης. Πριν από την έναρξη των The Gentlemen, φέρεται να εργαζόταν ως συνεργάτης για πολλά άλλα προγράμματα ransomware, συμπεριλαμβανομένου του Qilin.

Προηγμένη αποφυγή EDR μέσω πλαστοπροσωπίας και προστασίας από δυαδικά αρχεία

Το The Gentlemen θεωρείται μία από τις πιο τεχνικά ευέλικτες λειτουργίες RaaS που δραστηριοποιούνται αυτήν τη στιγμή. Οι προγραμματιστές του χρησιμοποιούν πολλαπλές τεχνικές για να διασφαλίσουν ότι οι μεταγλωττισμένοι "killers" EDR αποφεύγουν τον εντοπισμό, συμπεριλαμβανομένων μηχανισμών δυαδικής προστασίας και της χρήσης ονομάτων αρχείων που έχουν σχεδιαστεί για να μοιάζουν με αυτά γνωστών προμηθευτών κυβερνοασφάλειας. Η απάτη επεκτείνεται σε πλαστογραφημένες πληροφορίες έκδοσης, ψηφιακές υπογραφές και εικονίδια εφαρμογών.

Το πιο ευρέως χρησιμοποιούμενο εργαλείο στο οπλοστάσιο, το GentleKiller, υπάρχει σε οκτώ ξεχωριστές παραλλαγές. Κάθε έκδοση μιμείται ένα διαφορετικό νόμιμο προϊόν ασφαλείας και καταχράται ένα ξεχωριστό ευάλωτο ή κακόβουλο πρόγραμμα οδήγησης ως μέρος μιας αλυσίδας επίθεσης BYOVD. Το πλαίσιο είναι ικανό να εντοπίσει και να στοχεύσει περίπου 400 διεργασίες που σχετίζονται με 48 διαφορετικές λύσεις ασφαλείας από πολλούς προμηθευτές.

Η αυξανόμενη κακοποίηση ευάλωτων οδηγών

Τους τελευταίους μήνες έχει παρατηρηθεί αυξημένη κατάχρηση του προγράμματος οδήγησης PoisonX.sys σε πολλαπλές καμπάνιες BYOVD. Σε ένα περιστατικό, το πρόγραμμα οδήγησης χρησιμοποιήθηκε για τον τερματισμό της πλατφόρμας CrowdStrike Falcon EDR. Μια άλλη καμπάνια περιελάμβανε εισβολείς που εκμεταλλεύτηκαν το BeyondTrust Remote Support για να αναπτύξουν ransomware μέσα σε ένα δίκτυο θυμάτων, αφού πρώτα απενεργοποίησαν τα προϊόντα ασφαλείας μέσω των PoisonX.sys και hrwfpdrv.sys.

Ακόμα και όταν αφαιρούνται οι διαφορές στην επωνυμία και την επιλογή προγραμμάτων οδήγησης, ο υποκείμενος κώδικας αυτών των «δολοφόνων» EDR επιδεικνύει σημαντικές δομικές και συμπεριφορικές ομοιότητες, υποδεικνύοντας έντονα τη χρήση ενός κοινού προτύπου ανάπτυξης.

EDR Killers τρίτων μερών ενσωματωμένα στο Arsenal

Το κιτ εργαλείων Gentlemen's ενσωματώνει αρκετούς εξωτερικούς κωδικοποιητές EDR που βασίζονται σε BYOVD:

HexKiller (googleApiUtil64.sys), που προηγουμένως θεωρούνταν αποκλειστικό της ομάδας ransomware Warlock.
ThrottleBlood (ThrottleBlood.sys), που παρατηρήθηκε σε επιθέσεις που συνδέονται με θυγατρικές της MedusaLocker και της DragonForce, και HavocKiller ή HwAudKiller (havoc.sys).
Το OxideHarvest επεκτείνει την απειλή πέρα από το ransomware

Οι ερευνητές έχουν επίσης εντοπίσει ένα κακόβουλο λογισμικό που βασίζεται στο Rust και ονομάζεται OxideHarvest, γνωστό και ως buildx641, το οποίο κλέβει διαπιστευτήρια. Το κακόβουλο λογισμικό είναι ικανό να συλλέγει ευαίσθητες πληροφορίες από πολλά δημοφιλή προγράμματα περιήγησης, όπως:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk και IceCat.

Ένα συγκεντρωτικό μοντέλο που προσελκύει συνεργάτες

Ενώ πολλές ομάδες ransomware αφήνουν τις λειτουργίες παράκαμψης EDR στους συνεργάτες τους, η The Gentlemen έχει επιλέξει να συγκεντρώσει αυτήν τη δυνατότητα παρέχοντας στους συνεργάτες μια έτοιμη προς χρήση και τυποποιημένη σουίτα EDR-killer. Αυτή η στρατηγική μειώνει σημαντικά το τεχνικό εμπόδιο εισόδου για τους συνεργάτες, απλοποιεί την ανάπτυξη ransomware και αυξάνει τη συνολική ελκυστικότητα της επιχείρησης στο οικοσύστημα του κυβερνοεγκλήματος.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής