הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) מסגרת תוכנות זדוניות GentleKiller

מסגרת תוכנות זדוניות GentleKiller

עד Mezo ב-איום מתמשך מתקדם (APT), תוכנת כופר
לתרגם ל:

פעילות RaaS (ransomware-as-a-service) של Gentlemen מפתחת ומתחזקת באופן פעיל חבילה מקיפה של כלי זיהוי ותגובה לנקודות קצה (EDR) שבהם שותפים יכולים להשתמש כדי להשבית הגנות אבטחה לפני פריסת כלי מצפינים של תוכנות כופר.

במרכז הארסנל הזה נמצאת מסגרת המכונה GentleKiller, הנתמכת על ידי מספר כלים של צד שלישי וכלי הגנה שהודלפו, כולל HexKiller, ThrottleBlood ו-HavocKiller. כלי עזר אלה מאוחדים באמצעות מסגרת התחמקות-הגנה משותפת המסווה אותם כמוצרי אבטחה לגיטימיים באמצעות מידע גרסה מזויף, תעודות דיגיטליות מועתקות וסמלי אפליקציות משוכפלים.

ניצול מהיר של פגיעויות שנחשפו לאחרונה

אחת היכולות הבולטות ביותר של הקבוצה היא יכולתה ליישם במהירות פרצות הוכחת היתכנות (PoC) שפורסמו לאחרונה, הקשורות לטכניקת Bring Your Own Vulnerable Driver (BYOVD). במקרים רבים, פרצות חדשות שנחשפו משולבות בערכת הכלים של הקבוצה תוך מספר ימים בלבד ממועד הפיכתן לזמינות לציבור.

גישת פיתוח יעילה זו מספקת לשותפים כלים יעילים ביותר תוך הפחתת דרישות הפיתוח עבור המפעילים עצמם. המודל גם מאפשר לקבוצה לרענן באופן מתמיד את הארסנל שלה על ידי שילוב מנהלי התקנים חדשים שעברו שימוש לרעה כמעט מיד לאחר הגילוי לציבור.

עלייה מהירה במערכת האקולוגית של תוכנות הכופר

מאז צמיחתה במרץ 2025, הפכה The Gentlemen במהירות לאחת מקבוצות הכופר הפעילות ביותר בעולם. המבצע נטל אחריות על 504 קורבנות, כאשר רוב המטרות ממוקמות ברחבי דרום מזרח אסיה, דרום אמריקה ומערב אירופה.

חקירות אחרונות זיהו את אלכסנדר אנדריביץ' יאפאיב, אזרח רוסי בן 36 המכונה באינטרנט 'hastalamuerte', כמנהיג המבצע. לפני שהשיק את The Gentlemen, הוא עבד, על פי הדיווחים, כשותף למספר תוכנות כופר אחרות, כולל Qilin.

התחמקות מתקדמת מ-EDR באמצעות התחזות והגנה בינארית

"הג'נטלמנים" נחשב לאחת ממערכות ה-RaaS הזריזות ביותר מבחינה טכנית הפועלות כיום. מפתחיה משתמשים בטכניקות מרובות כדי להבטיח ש-EDR killers שעברו קומפילציה ייעלמו מגילוי, כולל מנגנוני הגנה בינאריים ושימוש בשמות קבצים שנועדו להידמות לאלה של ספקי אבטחת סייבר ידועים. ההונאה משתרעת על פרטי גרסה מזויפים, חתימות דיגיטליות וסמלי יישומים.

הכלי הנפוץ ביותר בארסנל, GentleKiller, קיים בשמונה גרסאות שונות. כל גרסה מחקה מוצר אבטחה לגיטימי אחר ומנצלת לרעה דרייבר פגיע או זדוני נפרד כחלק משרשרת מתקפות BYOVD. המסגרת מסוגלת לזהות ולמקד כ-400 תהליכים הקשורים ל-48 פתרונות אבטחה שונים מספקים רבים.

ההתעללות הגוברת בנהגים פגיעים

בחודשים האחרונים חלה עלייה בניצול לרעה של מנהל ההתקן PoisonX.sys במספר קמפיינים של BYOVD. במקרה אחד, מנהל ההתקן שימש לסגירת פלטפורמת CrowdStrike Falcon EDR. קמפיין אחר כלל תוקפים שניצלו את BeyondTrust Remote Support כדי לפרוס תוכנות כופר בתוך רשת קורבן לאחר שהשביתו תחילה מוצרי אבטחה באמצעות PoisonX.sys ו-hrwfpdrv.sys.

אפילו כאשר מבטלים הבדלים במיתוג ובבחירת הדרייברים, הקוד הבסיסי של גורמי EDR אלו מדגים דמיון מבני והתנהגותי משמעותי, דבר המצביע באופן חזק על שימוש בתבנית פיתוח משותפת.

רוצחי EDR של צד שלישי משולבים בארסנל

ערכת הכלים של Gentlemen's משלבת מספר מערכות EDR חיצוניות מבוססות BYOVD:

  • HexKiller ‏(googleApiUtil64.sys), שנחשב בעבר כבלעדי לקבוצת תוכנות הכופר Warlock.
  • ThrottleBlood ‏(ThrottleBlood.sys), שנצפה בהתקפות המקושרות לשותפים של MedusaLocker ו-DragonForce, ו-HavocKiller או HwAudKiller ‏(havoc.sys).
  • OxideHarvest מרחיבה את האיום מעבר לתוכנות כופר

חוקרים זיהו גם תוכנה זדונית מבוססת Rust בשם OxideHarvest, המכונה גם buildx641, לגניבת אישורים. התוכנה מסוגלת לאסוף מידע רגיש מדפדפנים פופולריים רבים, כולל:

גוגל כרום, מיקרוסופט אדג', טורץ', קומודו, דפדפן הפרטיות אפיק, ויואלדי, ברייב, אופרה, אופרהGX, מוזילה פיירפוקס, ווטרפוקס, בלאק הוק ו-IceCat.

מודל מרכזי שמושך שותפים

בעוד שקבוצות רבות של תוכנות כופר משאירות את פעולות עקיפת ה-EDR לשותפים שלהן, The Gentlemen בחרה לרכז יכולת זו על ידי מתן חבילת EDR-killer סטנדרטית ומוכנה לשימוש לשותפים. אסטרטגיה זו מורידה משמעותית את מחסום הכניסה הטכני עבור שותפים, מפשטת את פריסת תוכנות הכופר ומגבירה את האטרקטיביות הכוללת של הפעילות בתוך המערכת האקולוגית של פושעי הסייבר.

טוען...