GentleKillerin haittaohjelmien kehys

Vuonna Mezo vuonna Advanced Persistent Threat (APT), Ransomware

Käännä:

Gentlemenin kiristyshaittaohjelmia palveluna (RaaS) tarjoava operaatio kehittää ja ylläpitää aktiivisesti kattavaa päätepisteiden tunnistus- ja reagointityökalujen (EDR) valikoimaa, jonka avulla tytäryhtiöt voivat poistaa suojaukset käytöstä ennen kiristyshaittaohjelmien salausohjelmien käyttöönottoa.

Tämän arsenaalin keskiössä on GentleKiller-niminen kehys, jota tukevat useat kolmannen osapuolen ja vuodetut työkalut, kuten HexKiller, ThrottleBlood ja HavocKiller. Nämä apuohjelmat on yhdistetty yhteisen puolustushyökkäysten väistökehyksen avulla, joka naamioi ne laillisiksi tietoturvatuotteiksi käyttämällä väärennettyjä versiotietoja, kopioituja digitaalisia varmenteita ja kloonattuja sovelluskuvakkeita.

Sisällysluettelo

Uusien havaittujen haavoittuvuuksien nopea hyödyntäminen

Yksi ryhmän merkittävimmistä kyvyistä on kyky ottaa nopeasti käyttöön äskettäin julkaistuja, Bring Your Own Vulnerable Driver (BYOVD) -tekniikkaan liittyviä haavoittuvuuden todisteita (PoC). Monissa tapauksissa äskettäin paljastetut haavoittuvuudet integroidaan ryhmän työkalupakkiin vain muutaman päivän kuluessa niiden julkistamisesta.

Tämä virtaviivaistettu kehitystapa tarjoaa kumppaneille erittäin tehokkaita työkaluja ja vähentää samalla operaattoreiden omaa kehitystyötä. Malli mahdollistaa myös ryhmän jatkuvan arsenaalin päivittämisen sisällyttämällä äskettäin väärinkäytettyjä ajureita lähes välittömästi julkisen paljastuksen jälkeen.

Kiristyshaittaohjelmien ekosysteemin nopea nousu

Maaliskuussa 2025 ilmaantunut The Gentlemen on nopeasti noussut yhdeksi maailman aktiivisimmista kiristysohjelmaryhmistä. Operaatio on ottanut vastuulleen 504 uhria, joista suurin osa sijaitsee Kaakkois-Aasiassa, Etelä-Amerikassa ja Länsi-Euroopassa.

Viimeaikaiset tutkimukset ovat paljastaneet operaation johtajaksi 36-vuotiaan venäläisen Alexander Andreevich Yapaevin, joka tunnetaan verkossa nimellä "hastalamuerte". Ennen The Gentlemenin käynnistämistä hän työskenteli tiettävästi useiden muiden kiristyshaittaohjelmien, kuten Qilinin, yhteistyökumppanina.

Edistynyt EDR-väistö henkilöllisyyden anastamisen ja binääritiedostojen suojauksen avulla

The Gentlemeniä pidetään yhtenä teknisesti ketterimmistä RaaS-operaatioista tällä hetkellä. Sen kehittäjät käyttävät useita tekniikoita varmistaakseen, että käännetyt EDR-tappajat välttyvät havaitsemiselta, mukaan lukien binääriset suojausmekanismit ja tiedostonimien käyttö, jotka on suunniteltu muistuttamaan tunnettujen kyberturvallisuustoimittajien nimiä. Petos ulottuu väärennetyille versiotiedoille, digitaalisille allekirjoituksille ja sovelluskuvakkeille.

Yleisimmin käytetty työkalu arsenaalissa, GentleKiller, on olemassa kahdeksana eri varianttina. Jokainen versio jäljittelee eri laillista tietoturvatuotetta ja hyödyntää erillistä haavoittuvaa tai haitallista ajuria osana BYOVD-hyökkäysketjua. Kehys pystyy tunnistamaan ja kohdistamaan noin 400 prosessia, jotka liittyvät 48 eri tietoturvaratkaisuun useilta eri toimittajilta.

Haavoittuvien kuljettajien lisääntyvä hyväksikäyttö

Viime kuukausina on nähty PoisonX.sys-ajurin väärinkäytön lisääntymistä useissa BYOVD-kampanjoissa. Yhdessä tapauksessa ajuria käytettiin CrowdStrike Falcon EDR -alustan sulkemiseen. Toisessa kampanjassa hyökkääjät hyödynsivät BeyondTrust Remote Supportia asentaakseen kiristysohjelmia uhriverkostoon poistettuaan ensin tietoturvatuotteita PoisonX.sys- ja hrwfpdrv.sys-tiedostojen kautta.

Vaikka brändäyksen ja ajurivalinnan erot poistettaisiin, näiden EDR-tappajien taustalla oleva koodi osoittaa merkittäviä rakenteellisia ja käyttäytymisessä ilmeneviä samankaltaisuuksia, mikä viittaa vahvasti jaetun kehitysmallin käyttöön.

Kolmannen osapuolen EDR-tappajat integroituna Arsenaliin

Herrasmiesten työkalupakki sisältää useita ulkoisia BYOVD-pohjaisia EDR-tappajia:

HexKiller (googleApiUtil64.sys), jonka aiemmin uskottiin olevan yksinomaan Warlock-kiristysohjelmaryhmän käytössä.
ThrottleBlood (ThrottleBlood.sys), havaittu MedusaLockerin ja DragonForcen tytäryhtiöihin liittyvissä hyökkäyksissä, sekä HavocKiller tai HwAudKiller (havoc.sys).
OxideHarvest laajentaa uhkaa kiristyshaittaohjelmien ulkopuolelle

Tutkijat ovat myös tunnistaneet Rust-pohjaisen tunnistetietoja varastavan haittaohjelman nimeltä OxideHarvest, joka tunnetaan myös nimellä buildx641. Varasohjelma pystyy keräämään arkaluonteisia tietoja useista suosituista selaimista, mukaan lukien:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk ja IceCat.

Keskitetty malli, joka houkuttelee kumppaneita

Vaikka monet kiristyshaittaohjelmien käyttäjäryhmät jättävät EDR-ohitusoperaatiot yhteistyökumppaneidensa tehtäväksi, The Gentlemen on päättänyt keskittää tämän ominaisuuden tarjoamalla yhteistyökumppaneille käyttövalmiin ja standardoidun EDR-tappajapaketin. Tämä strategia alentaa merkittävästi yhteistyökumppaneiden teknistä markkinoille pääsyä, yksinkertaistaa kiristysohjelmien käyttöönottoa ja lisää operaation yleistä houkuttelevuutta kyberrikollisuuden ekosysteemissä.

EnigmaSoftin maksuprosessorin Digital River GmbH:n konkurssi ei vaikuta SpyHunter-asiakkaiden haittaohjelmien torjuntaan

Hae

Vaihda aluetta