„GentleKiller“ kenkėjiškų programų sistema

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT), Ransomware

Versti į:

„Gentlemen“ išpirkos reikalaujančių programų kaip paslaugos (RaaS) operacija aktyviai kuria ir prižiūri išsamų galinių taškų aptikimo ir reagavimo (EDR) žudymo įrankių rinkinį, kurį filialai gali naudoti norėdami išjungti apsaugos priemones prieš diegdami išpirkos reikalaujančių programų šifravimo įrankius.

Šio arsenalo centre yra sistema, žinoma kaip „GentleKiller“, kurią palaiko kelios trečiųjų šalių ir nutekintos priemonės, įskaitant „HexKiller“, „ThrottleBlood“ ir „HavocKiller“. Šias programas vienija bendra gynybos vengimo sistema, kuri jas maskuoja kaip teisėtus saugumo produktus, naudodama suklastotą versijos informaciją, nukopijuotus skaitmeninius sertifikatus ir klonuotas programų piktogramas.

Turinys

Greitas naujai atskleistų pažeidžiamumų išnaudojimas

Vienas žymiausių grupės gebėjimų yra gebėjimas greitai įdiegti naujai paskelbtus koncepcijos įrodymo (PoC) pažeidžiamumo išnaudojimus, susijusius su „Bring Your Own Vulnerable Driver“ (BYOVD) technika. Daugeliu atvejų naujai atskleisti pažeidžiamumo išnaudojimai integruojami į grupės įrankių rinkinį vos per kelias dienas nuo jų viešo paskelbimo.

Šis supaprastintas kūrimo metodas suteikia filialams itin efektyvius įrankius, tuo pačiu sumažinant pačių operatorių kūrimo reikalavimus. Šis modelis taip pat leidžia grupei nuolat atnaujinti savo arsenalą, įtraukiant naujai piktnaudžiaujamus vairuotojus beveik iš karto po viešo atskleidimo.

Sparčiai auganti išpirkos reikalaujančių programų ekosistema

Nuo pasirodymo 2025 m. kovo mėn. „The Gentlemen“ greitai tapo viena aktyviausių išpirkos reikalaujančių virusų grupuočių pasaulyje. Operacija prisiėmė atsakomybę už 504 aukas, kurių dauguma buvo Pietryčių Azijoje, Pietų Amerikoje ir Vakarų Europoje.

Naujausi tyrimai parodė, kad operacijos vadovu tapo Aleksandras Andrejevičius Japajevas, 36 metų Rusijos pilietis, internete žinomas kaip „hastalamuerte“. Prieš paleisdamas „The Gentlemen“, jis, kaip pranešama, dirbo kelių kitų išpirkos reikalaujančių programų, įskaitant „Qilin“, partneriu.

Pažangus EDR apėjimas naudojant apsimetinėjimą ir dvejetainių failų apsaugą

„The Gentlemen“ laikoma viena techniškai lankstiausių šiuo metu veikiančių „RaaS“ operacijų. Jos kūrėjai naudoja įvairius metodus, siekdami užtikrinti, kad kompiliuoti EDR žudikai nebūtų aptikimo, įskaitant dvejetainius apsaugos mechanizmus ir failų pavadinimų, sukurtų taip, kad jie primintų žinomų kibernetinio saugumo tiekėjų pavadinimus, naudojimą. Apgaulė taikoma ir suklastotai versijų informacijai, skaitmeniniams parašams ir programų piktogramoms.

Plačiausiai naudojamas įrankis arsenale – „GentleKiller“ – egzistuoja aštuoniais skirtingais variantais. Kiekviena versija imituoja skirtingą teisėtą saugos produktą ir piktnaudžiauja atskiru pažeidžiamu arba kenkėjišku tvarkykle kaip BYOVD atakų grandinės dalimi. Sistema gali atpažinti ir atakuoti maždaug 400 procesų, susijusių su 48 skirtingais įvairių tiekėjų saugos sprendimais.

Didėjantis pažeidžiamų vairuotojų išnaudojimas

Pastaraisiais mėnesiais padažnėjo piktnaudžiavimo tvarkykle „PoisonX.sys“ keliose BYOVD kampanijose. Vieno incidento metu tvarkyklė buvo panaudota „CrowdStrike Falcon EDR“ platformai uždaryti. Kitoje kampanijoje užpuolikai, pasinaudoję „BeyondTrust Remote Support“, diegė išpirkos reikalaujančią programinę įrangą aukos tinkle, prieš tai išjungę saugos produktus naudodami „PoisonX.sys“ ir „hrwfpdrv.sys“.

Net ir pašalinus prekės ženklo kūrimo ir tvarkyklių pasirinkimo skirtumus, šių EDR žudikų pagrindinis kodas pasižymi reikšmingais struktūriniais ir elgesio panašumais, o tai aiškiai rodo bendro kūrimo šablono naudojimą.

Trečiųjų šalių EDR žudikai, integruoti į „Arsenal“

Džentelmenų įrankių rinkinyje yra keletas išorinių BYOVD pagrindu sukurtų EDR žudikų:

„HexKiller“ (googleApiUtil64.sys), anksčiau manyta, kad tai išskirtinė „Warlock“ išpirkos programų grupės priemonė.
„ThrottleBlood“ (ThrottleBlood.sys), pastebėtas atakose, susijusiose su „MedusaLocker“ ir „DragonForce“ filialais, ir „HavocKiller“ arba „HwAudKiller“ (havoc.sys).
„OxideHarvest“ plečia grėsmę, neapsiribojant išpirkos reikalaujančiomis programomis

Tyrėjai taip pat nustatė „Rust“ pagrindu sukurtą kredencialų vagiančią kenkėjišką programą, vadinamą „OxideHarvest“, dar žinomą kaip „buildx641“. Vagilė gali rinkti slaptą informaciją iš daugelio populiarių naršyklių, įskaitant:

„Google Chrome“, „Microsoft Edge“, „Torch“, „Comodo“, „Epic Privacy Browser“, „Vivaldi“, „Brave“, „Opera“, „OperaGX“, „Mozilla Firefox“, „Waterfox“, „BlackHawk“ ir „IceCat“.

Centralizuotas modelis, pritraukiantis filialus

Nors daugelis išpirkos reikalaujančių programų grupių EDR apėjimo operacijas palieka savo filialams, „The Gentlemen“ nusprendė centralizuoti šią galimybę, suteikdama filialams paruoštą naudoti ir standartizuotą EDR žudikų rinkinį. Ši strategija žymiai sumažina technines kliūtis filialams patekti į rinką, supaprastina išpirkos reikalaujančių programų diegimą ir padidina bendrą operacijos patrauklumą kibernetinių nusikaltimų ekosistemoje.

„EnigmaSoft“ mokėjimų procesorius „Digital River GmbH“ pareiškimas dėl bankroto neturi įtakos „SpyHunter“ klientų apsaugai nuo kenkėjiškų programų

Paieška

Keisti regioną