GentleKiller kártevő keretrendszer

Mezo -ra Advanced Persistent Threat (APT), Ransomware-ben

Fordítás ide:

A Gentlemen zsarolóvírus-szolgáltatásként (RaaS) művelet aktívan fejleszt és tart karban egy átfogó végpont-észlelő és -kezelő (EDR) eszközcsomagot, amelyet a leányvállalatok használhatnak a biztonsági védelem letiltására a zsarolóvírus-titkosítók telepítése előtt.

Ennek az arzenálnak a középpontjában egy GentleKiller néven ismert keretrendszer áll, amelyet számos harmadik féltől származó és kiszivárgott eszköz támogat, köztük a HexKiller, a ThrottleBlood és a HavocKiller. Ezeket a segédprogramokat egy közös védelmi-megkerülő keretrendszer egyesíti, amely hamis verzióinformációk, másolt digitális tanúsítványok és klónozott alkalmazásikonok használatával legitim biztonsági termékekként álcázza őket.

Tartalomjegyzék

Az újonnan felfedezett sebezhetőségek gyors kihasználása

A csoport egyik legkiemelkedőbb képessége, hogy gyorsan képes működőképessé tenni az újonnan közzétett, „Bring Your Own Vulnerable Driver” (BYOVD) technikához kapcsolódó koncepcióbizonyítási (PoC) sebezhetőségeket. Sok esetben az újonnan közzétett sebezhetőségeket a nyilvánosan elérhetővé válásukat követő néhány napon belül integrálják a csoport eszköztárába.

Ez az egyszerűsített fejlesztési megközelítés rendkívül hatékony eszközöket biztosít a leányvállalatok számára, miközben csökkenti az üzemeltetők fejlesztési igényeit. A modell lehetővé teszi a csoport számára, hogy folyamatosan frissítse eszköztárát azáltal, hogy a nyilvános bejelentést követően szinte azonnal beépíti az újonnan visszaélt illesztőprogramokat.

A zsarolóvírus-ökoszisztéma gyors térnyerése

A 2025 márciusában megjelent The Gentlemen gyorsan a világ egyik legaktívabb zsarolóvírus-csoportjává vált. A művelet 504 áldozatért vállalta a felelősséget, a célpontok többsége Délkelet-Ázsiában, Dél-Amerikában és Nyugat-Európában található.

A legújabb vizsgálatok során Alekszandr Andrejevics Japajevet, egy 36 éves orosz állampolgárt azonosítottak a művelet vezetőjeként, akit online „hastalamuerte” néven ismernek. A The Gentlemen elindítása előtt állítólag számos más zsarolóvírus-program, köztük a Qilin partnereként dolgozott.

Fejlett EDR-elkerülés megszemélyesítéssel és bináris védelemmel

A The Gentlemen jelenleg az egyik legtechnikailag legagilisabb RaaS-műveletnek számít. Fejlesztői számos technikát alkalmaznak annak biztosítására, hogy a lefordított EDR-killerek ne észlelhetők legyenek, beleértve a bináris védelmi mechanizmusokat és az ismert kiberbiztonsági cégek neveire hasonlító fájlnevek használatát. A megtévesztés kiterjed a hamisított verzióinformációkra, digitális aláírásokra és alkalmazásikonokra is.

A legszélesebb körben használt eszköz az arzenálban, a GentleKiller, nyolc különböző változatban létezik. Mindegyik verzió egy másik legitim biztonsági terméket utánoz, és egy különálló sebezhető vagy rosszindulatú illesztőprogramot használ fel egy BYOVD támadási lánc részeként. A keretrendszer képes azonosítani és célozni körülbelül 400 folyamatot, amelyek számos gyártó 48 különböző biztonsági megoldásához kapcsolódnak.

A veszélyeztetett sofőrök egyre növekvő visszaélései

Az elmúlt hónapokban számos BYOVD kampányban egyre többen éltek vissza a PoisonX.sys illesztőprogrammal. Az egyik esetben a illesztőprogramot a CrowdStrike Falcon EDR platform leállítására használták. Egy másik kampányban a támadók a BeyondTrust Remote Support szolgáltatást kihasználva zsarolóvírust telepítettek az áldozati hálózaton belül, miután először a PoisonX.sys és a hrwfpdrv.sys fájlokon keresztül letiltották a biztonsági termékeket.

Még ha el is távolítjuk a márkaépítés és a meghajtóprogram-kiválasztás közötti különbségeket, ezen EDR-gyilkosok mögöttes kódja jelentős szerkezeti és viselkedési hasonlóságokat mutat, ami erősen utal a megosztott fejlesztési sablon használatára.

Harmadik féltől származó EDR-gyilkosok integrálva az Arsenalba

Az úriemberek eszköztára számos külső, BYOVD-alapú EDR-elhárítót tartalmaz:

HexKiller (googleApiUtil64.sys), amelyről korábban azt hitték, hogy kizárólag a Warlock zsarolóvírus-csoporthoz tartozik.
ThrottleBlood (ThrottleBlood.sys), amelyet a MedusaLocker és a DragonForce leányvállalataihoz, valamint a HavocKillerhez vagy HwAudKillerhez (havoc.sys) kapcsolódó támadásokban figyeltek meg.
Az OxideHarvest a zsarolóvírusokon túlra is kiterjeszti a fenyegetést

A kutatók azonosítottak egy OxideHarvest nevű, Rust-alapú, hitelesítő adatokat ellopó kártevőt is, más néven buildx641-et. A tolvaj számos népszerű böngészőből képes bizalmas információkat gyűjteni, beleértve a következőket:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk és IceCat.

Központosított modell, amely vonzza a partnereket

Míg sok zsarolóvírus-csoport az EDR megkerülésének műveleteit partnereire bízza, a The Gentlemen úgy döntött, hogy központosítja ezt a képességet azáltal, hogy egy használatra kész és szabványosított EDR-elhárító csomagot biztosít partnereiknek. Ez a stratégia jelentősen csökkenti a partnerek technikai belépési korlátait, leegyszerűsíti a zsarolóvírusok telepítését, és növeli a művelet általános vonzerejét a kiberbűnözői ökoszisztémán belül.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása