GentleKiller ļaunprogrammatūras ietvars

Līdz Mezo. gadam Advanced Persistent Threat (APT), Ransomware. gadā

Tulkot uz:

Izspiedējvīrusu pakalpojumu sniedzējs “Gentlemen” (RaaS) aktīvi izstrādā un uztur visaptverošu galapunktu noteikšanas un reaģēšanas (EDR) rīku komplektu, ko filiāles var izmantot, lai atspējotu drošības aizsardzību pirms izspiedējvīrusu šifrētāju izvietošanas.

Šī arsenāla centrā ir ietvars, kas pazīstams kā GentleKiller, ko atbalsta vairāki trešo pušu un nopludināti rīki, tostarp HexKiller, ThrottleBlood un HavocKiller. Šīs utilītas ir apvienotas, izmantojot kopīgu aizsardzības apiešanas ietvaru, kas tās maskē kā likumīgus drošības produktus, izmantojot viltotu versiju informāciju, kopētus digitālos sertifikātus un klonētas lietojumprogrammu ikonas.

Satura rādītājs

Jaunatklātu ievainojamību ātra izmantošana

Viena no grupas ievērojamākajām spējām ir spēja ātri ieviest operacionāli jaunatklātus koncepcijas pierādījuma (PoC) ekspluatācijas veidus, kas saistīti ar “Bring Your Own Vulnerable Driver” (BYOVD) metodi. Daudzos gadījumos jaunatklātie ekspluatācijas veidi tiek integrēti grupas rīku komplektā tikai dažu dienu laikā pēc to publiskas pieejamības.

Šī racionalizētā izstrādes pieeja nodrošina filiālēm ļoti efektīvus rīkus, vienlaikus samazinot izstrādes prasības pašiem operatoriem. Modelis arī ļauj grupai nepārtraukti atjaunināt savu arsenālu, iekļaujot nesen ļaunprātīgi izmantotus draiverus gandrīz uzreiz pēc publiskas informācijas atklāšanas.

Strauja izspiedējvīrusu ekosistēmas izaugsme

Kopš parādīšanās 2025. gada martā, The Gentlemen ir ātri kļuvusi par vienu no aktīvākajām izspiedējvīrusu grupām pasaulē. Operācija ir uzņēmusies atbildību par 504 upuriem, un lielākā daļa mērķu atrodas Dienvidaustrumāzijā, Dienvidamerikā un Rietumeiropā.

Jaunākās izmeklēšanas ir identificējušas Aleksandru Andrejeviču Japajevu, 36 gadus vecu Krievijas pilsoni, kurš tiešsaistē pazīstams kā “hastalamuerte”, kā operācijas vadītājs. Pirms The Gentlemen palaišanas viņš, kā ziņots, strādāja par vairāku citu izspiedējvīrusu programmu, tostarp Qilin, filiāli.

Uzlabota EDR apiešana, izmantojot personifikāciju un bināro failu aizsardzību

"The Gentlemen" tiek uzskatīts par vienu no tehniski veiklākajām RaaS operācijām, kas pašlaik darbojas. Tā izstrādātāji izmanto vairākas metodes, lai nodrošinātu, ka kompilētie EDR killeri netiek atklāti, tostarp bināros aizsardzības mehānismus un failu nosaukumus, kas atgādina labi pazīstamu kiberdrošības pārdevēju nosaukumus. Maldināšana attiecas arī uz viltotu versiju informāciju, digitālajiem parakstiem un lietojumprogrammu ikonām.

Visplašāk izmantotais rīks arsenālā, GentleKiller, pastāv astoņās atšķirīgās variantēs. Katra versija imitē citu likumīgu drošības produktu un ļaunprātīgi izmanto atsevišķu neaizsargātu vai ļaunprātīgu draiveri kā daļu no BYOVD uzbrukumu ķēdes. Sistēma spēj identificēt un mērķēt uz aptuveni 400 procesiem, kas saistīti ar 48 dažādiem drošības risinājumiem no daudziem piegādātājiem.

Pieaugošā neaizsargāto autovadītāju ļaunprātīga izmantošana

Pēdējos mēnešos vairākās BYOVD kampaņās ir novērota pastiprināta draivera PoisonX.sys ļaunprātīga izmantošana. Vienā incidentā draiveris tika izmantots, lai izbeigtu CrowdStrike Falcon EDR platformu. Citā kampaņā uzbrucēji izmantoja BeyondTrust attālo atbalstu, lai izvietotu izspiedējvīrusu upura tīklā pēc tam, kad vispirms tika atspējoti drošības produkti, izmantojot PoisonX.sys un hrwfpdrv.sys.

Pat ja tiek novērstas atšķirības zīmola veidošanā un draiveru izvēlē, šo EDR slepkavu pamatā esošais kods uzrāda ievērojamas strukturālas un uzvedības līdzības, kas spēcīgi norāda uz kopīgas izstrādes veidnes izmantošanu.

Trešās puses EDR slepkavas, kas integrētas Arsenālā

Kungu rīku komplektā ir iekļauti vairāki ārēji BYOVD balstīti EDR slepkavas:

HexKiller (googleApiUtil64.sys), kas iepriekš tika uzskatīts par ekskluzīvu Warlock izspiedējvīrusu grupas rīku.
ThrottleBlood (ThrottleBlood.sys), novērots uzbrukumos, kas saistīti ar MedusaLocker un DragonForce saistītajiem uzņēmumiem, un HavocKiller vai HwAudKiller (havoc.sys).
OxideHarvest paplašina apdraudējumu ārpus izspiedējvīrusu jomas

Pētnieki ir identificējuši arī uz Rust balstītu ļaunprogrammatūru ar nosaukumu OxideHarvest, kas pazīstama arī kā buildx641 un zog akreditācijas datus. Zaglis spēj ievākt sensitīvu informāciju no daudzām populārām pārlūkprogrammām, tostarp:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk un IceCat.

Centralizēts modelis, kas piesaista filiāles

Lai gan daudzas izspiedējvīrusu grupas EDR apiešanas operācijas atstāj savu filiāļu ziņā, The Gentlemen ir izvēlējusies centralizēt šo iespēju, nodrošinot filiālēm gatavu un standartizētu EDR apkarošanas komplektu. Šī stratēģija ievērojami samazina filiāļu tehniskos šķēršļus ienākšanai tirgū, vienkāršo izspiedējvīrusu izvietošanu un palielina operācijas kopējo pievilcību kibernoziedznieku ekosistēmā.

EnigmaSoft maksājumu procesors Digital River GmbH bankrota pieteikums neietekmē SpyHunter klientu aizsardzību pret ļaunprātīgu programmatūru

Meklēt

Mainīt reģionu