Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Framework antimalware GentleKiller

Framework antimalware GentleKiller

Entro Mezo nel Minaccia persistente avanzata (APT), Riscatto
Traduci in:

Il servizio ransomware-as-a-service (RaaS) di Gentlemen sta sviluppando e mantenendo attivamente una suite completa di strumenti di rilevamento e risposta degli endpoint (EDR) che gli affiliati possono utilizzare per disabilitare le protezioni di sicurezza prima di implementare i crittografi ransomware.

Al centro di questo arsenale si trova un framework noto come GentleKiller, supportato da diversi strumenti di terze parti e trapelati, tra cui HexKiller, ThrottleBlood e HavocKiller. Queste utility sono unificate da un framework comune di elusione delle difese che le maschera da prodotti di sicurezza legittimi utilizzando informazioni di versione false, certificati digitali copiati e icone di applicazioni clonate.

Sfruttamento rapido delle vulnerabilità appena scoperte

Una delle capacità più notevoli del gruppo è la sua abilità di rendere rapidamente operativi i nuovi exploit proof-of-concept (PoC) pubblicati, associati alla tecnica Bring Your Own Vulnerable Driver (BYOVD). In molti casi, i nuovi exploit divulgati vengono integrati nel toolkit del gruppo entro pochi giorni dalla loro pubblicazione.

Questo approccio di sviluppo semplificato fornisce agli affiliati strumenti altamente efficaci, riducendo al contempo i requisiti di sviluppo per gli operatori stessi. Il modello consente inoltre al gruppo di aggiornare continuamente il proprio arsenale, incorporando i driver di nuova acquisizione quasi immediatamente dopo la divulgazione pubblica.

Rapida ascesa dell’ecosistema ransomware

Dalla sua comparsa nel marzo 2025, The Gentlemen è diventato rapidamente uno dei gruppi ransomware più attivi al mondo. L'operazione ha rivendicato la responsabilità di 504 vittime, la maggior parte delle quali situate nel Sud-est asiatico, in Sud America e in Europa occidentale.

Recenti indagini hanno identificato Alexander Andreevich Yapaev, un cittadino russo di 36 anni noto online come "hastalamuerte", come il capo dell'operazione. Prima di lanciare The Gentlemen, avrebbe lavorato come affiliato per diversi altri programmi ransomware, tra cui Qilin.

Elusione avanzata dell’EDR tramite impersonificazione e protezione binaria

The Gentlemen è considerata una delle operazioni RaaS tecnicamente più agili attualmente attive. I suoi sviluppatori impiegano molteplici tecniche per garantire che i killer EDR compilati eludano il rilevamento, inclusi meccanismi di protezione binaria e l'uso di nomi di file progettati per assomigliare a quelli di noti fornitori di sicurezza informatica. L'inganno si estende a informazioni sulla versione falsificate, firme digitali e icone delle applicazioni.

Lo strumento più utilizzato nell'arsenale, GentleKiller, esiste in otto varianti distinte. Ogni versione imita un diverso prodotto di sicurezza legittimo e sfrutta un driver vulnerabile o dannoso specifico nell'ambito di una catena di attacchi BYOVD (Bring Your Own Driver). Il framework è in grado di identificare e prendere di mira circa 400 processi associati a 48 diverse soluzioni di sicurezza di numerosi fornitori.

Il crescente abuso nei confronti dei conducenti vulnerabili

Negli ultimi mesi si è registrato un aumento degli abusi del driver PoisonX.sys in diverse campagne BYOVD (Bring Your Own Device). In un caso, il driver è stato utilizzato per terminare la piattaforma EDR CrowdStrike Falcon. Un'altra campagna ha visto gli aggressori sfruttare BeyondTrust Remote Support per diffondere ransomware all'interno della rete della vittima, dopo aver disabilitato i prodotti di sicurezza tramite PoisonX.sys e hrwfpdrv.sys.

Anche eliminando le differenze di branding e di selezione dei driver, il codice sorgente di questi sistemi anti-EDR dimostra significative somiglianze strutturali e comportamentali, indicando fortemente l'utilizzo di un modello di sviluppo condiviso.

Killer EDR di terze parti integrati nell’arsenale

Il kit di strumenti del Gentlemen include diversi sistemi di eliminazione EDR esterni basati su BYOVD:

  • HexKiller (googleApiUtil64.sys), precedentemente ritenuto un'esclusiva del gruppo ransomware Warlock.
  • ThrottleBlood (ThrottleBlood.sys), osservato in attacchi collegati a MedusaLocker e ad affiliati di DragonForce, e HavocKiller o HwAudKiller (havoc.sys).
  • OxideHarvest estende la minaccia oltre il ransomware

I ricercatori hanno inoltre identificato un malware per il furto di credenziali basato su Rust, denominato OxideHarvest, noto anche come buildx641. Questo malware è in grado di raccogliere informazioni sensibili da numerosi browser popolari, tra cui:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk e IceCat.

Un modello centralizzato che attrae gli affiliati

Mentre molti gruppi ransomware lasciano le operazioni di bypass EDR ai propri affiliati, The Gentlemen ha scelto di centralizzare questa capacità fornendo agli affiliati una suite EDR-killer standardizzata e pronta all'uso. Questa strategia riduce significativamente la barriera tecnica di ingresso per gli affiliati, semplifica l'implementazione del ransomware e aumenta l'attrattiva complessiva dell'operazione all'interno dell'ecosistema della criminalità informatica.

I più visti

Caricamento in corso...