Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Struktura oprogramowania antywirusowego GentleKiller

Struktura oprogramowania antywirusowego GentleKiller

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Oprogramowanie wymuszające okup
Przetłumacz na:

W ramach operacji Gentlemen ransomware-as-a-service (RaaS) aktywnie opracowano i utrzymywano kompleksowy zestaw narzędzi do wykrywania i reagowania na ataki w punktach końcowych (EDR), z których partnerzy mogą korzystać w celu wyłączania zabezpieczeń przed wdrożeniem szyfrujących ataków ransomware.

W centrum tego arsenału znajduje się framework znany jako GentleKiller, wspierany przez kilka narzędzi firm trzecich i wyciekłych, w tym HexKiller, ThrottleBlood i HavocKiller. Narzędzia te są zintegrowane za pomocą wspólnej struktury unikania zabezpieczeń, która maskuje je jako legalne produkty zabezpieczające, wykorzystując fałszywe informacje o wersji, skopiowane certyfikaty cyfrowe i sklonowane ikony aplikacji.

Szybkie wykorzystanie nowo ujawnionych luk w zabezpieczeniach

Jedną z najbardziej znaczących możliwości grupy jest jej zdolność do szybkiego wdrażania nowo opublikowanych exploitów typu proof-of-concept (PoC) związanych z techniką Bring Your Own Vulnerable Driver (BYOVD). W wielu przypadkach nowo ujawnione exploity są integrowane z zestawem narzędzi grupy w ciągu zaledwie kilku dni od ich upublicznienia.

To usprawnione podejście do rozwoju zapewnia podmiotom stowarzyszonym wysoce skuteczne narzędzia, jednocześnie zmniejszając wymagania rozwojowe dla samych operatorów. Model ten umożliwia również grupie ciągłe odświeżanie arsenału poprzez włączanie nowych sterowników, które zostały nadużyte, niemal natychmiast po ich publicznym ujawnieniu.

Gwałtowny wzrost ekosystemu oprogramowania ransomware

Od momentu powstania w marcu 2025 roku, The Gentlemen szybko stał się jedną z najaktywniejszych grup ransomware na świecie. Operacja przyznała się do 504 ofiar, przy czym większość celów znajdowała się w Azji Południowo-Wschodniej, Ameryce Południowej i Europie Zachodniej.

Niedawne śledztwo wykazało, że szefem operacji był Aleksander Andriejewicz Japajew, 36-letni obywatel Rosji znany w internecie jako „hastalamuerte”. Przed uruchomieniem The Gentlemen podobno współpracował z kilkoma innymi programami ransomware, w tym z Qilin.

Zaawansowane unikanie EDR poprzez podszywanie się i ochronę binarną

The Gentlemen jest uważany za jedną z najbardziej sprawnych technicznie operacji RaaS działających obecnie. Jego twórcy stosują wiele technik, aby uniemożliwić wykrycie skompilowanych programów EDR Killer, w tym mechanizmy ochrony binarnej i używanie nazw plików zaprojektowanych tak, aby przypominały nazwy znanych dostawców rozwiązań cyberbezpieczeństwa. Oszustwo obejmuje również sfałszowane informacje o wersji, podpisy cyfrowe i ikony aplikacji.

Najpopularniejsze narzędzie w arsenale, GentleKiller, występuje w ośmiu różnych wariantach. Każda wersja imituje inny legalny produkt zabezpieczający i wykorzystuje oddzielny, podatny na ataki lub złośliwy sterownik w ramach łańcucha ataku BYOVD. Platforma jest w stanie zidentyfikować i zaatakować około 400 procesów powiązanych z 48 różnymi rozwiązaniami bezpieczeństwa od wielu dostawców.

Rosnące nadużycia wobec kierowców niepełnosprawnych

W ostatnich miesiącach zaobserwowano wzrost nadużyć sterownika PoisonX.sys w licznych kampaniach BYOVD. W jednym z incydentów sterownik został użyty do zamknięcia platformy CrowdStrike Falcon EDR. W innej kampanii atakujący wykorzystali BeyondTrust Remote Support do wdrożenia ransomware w sieci ofiary po uprzednim wyłączeniu produktów zabezpieczających za pomocą PoisonX.sys i hrwfpdrv.sys.

Nawet po usunięciu różnic w brandingu i wyborze sterowników, kod źródłowy tych zabójców EDR wykazuje znaczące podobieństwa strukturalne i behawioralne, co silnie wskazuje na wykorzystanie wspólnego szablonu programistycznego.

Zabójcy EDR innych firm zintegrowani z Arsenalem

Zestaw narzędzi Gentlemen's zawiera kilka zewnętrznych zabójców EDR opartych na BYOVD:

  • HexKiller (googleApiUtil64.sys) był wcześniej uważany za oprogramowanie występujące wyłącznie w grupie ransomware Warlock.
  • ThrottleBlood (ThrottleBlood.sys) zaobserwowany w atakach powiązanych z atakami MedusaLocker i DragonForce oraz HavocKiller lub HwAudKiller (havoc.sys).
  • OxideHarvest rozszerza zagrożenie poza oprogramowanie ransomware

Badacze zidentyfikowali również oparte na języku Rust złośliwe oprogramowanie do kradzieży danych uwierzytelniających o nazwie OxideHarvest, znane również jako buildx641. Oprogramowanie to potrafi zbierać poufne informacje z wielu popularnych przeglądarek, w tym:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk i IceCat.

Centralny model, który przyciąga partnerów

Podczas gdy wiele grup zajmujących się oprogramowaniem ransomware pozostawia operacje omijania zabezpieczeń EDR swoim partnerom, The Gentlemen zdecydowało się scentralizować tę możliwość, udostępniając partnerom gotowy do użycia i ujednolicony pakiet narzędzi do blokowania EDR. Strategia ta znacząco obniża techniczną barierę wejścia dla partnerów, upraszcza wdrażanie oprogramowania ransomware i zwiększa ogólną atrakcyjność operacji w ekosystemie cyberprzestępców.

Najczęściej oglądane

Ładowanie...