Фреймворк вредоносного ПО GentleKiller

Компания Gentlemen, предоставляющая услуги по распространению программ-вымогателей (RaaS), активно разрабатывает и поддерживает комплексный набор инструментов обнаружения и реагирования на угрозы на конечных устройствах (EDR), которые её филиалы могут использовать для отключения средств защиты перед развертыванием программ-вымогателей.

В основе этого арсенала лежит фреймворк GentleKiller, поддерживаемый несколькими сторонними и просочившимися в сеть инструментами, включая HexKiller, ThrottleBlood и HavocKiller. Эти утилиты объединены общей системой обхода защиты, которая маскирует их под легитимные продукты безопасности, используя поддельную информацию о версии, скопированные цифровые сертификаты и клонированные значки приложений.

Быстрая эксплуатация недавно обнаруженных уязвимостей

Одной из наиболее примечательных особенностей группы является ее способность быстро внедрять в эксплуатацию недавно опубликованные эксплойты, демонстрирующие работоспособность концепции (PoC) в рамках техники «используй свой собственный уязвимый драйвер» (BYOVD). Во многих случаях новые эксплойты интегрируются в инструментарий группы всего через несколько дней после их публичного доступа.

Этот оптимизированный подход к разработке предоставляет филиалам высокоэффективные инструменты, одновременно снижая требования к разработке для самих операторов. Модель также позволяет группе постоянно обновлять свой арсенал, внедряя новые уязвимые драйверы практически сразу после их публичного раскрытия.

Стремительный рост экосистемы программ-вымогателей.

С момента своего появления в марте 2025 года группа The Gentlemen быстро стала одной из самых активных групп, занимающихся вымогательством в мире. Операция взяла на себя ответственность за 504 жертвы, большинство из которых находятся в Юго-Восточной Азии, Южной Америке и Западной Европе.

В ходе недавних расследований лидером операции был идентифицирован Александр Андреевич Япаев, 36-летний гражданин России, известный в интернете как «hastalamuerte». Сообщается, что до запуска The Gentlemen он работал в качестве сообщника нескольких других программ-вымогателей, включая Qilin.

Расширенные методы обхода EDR с помощью подмены личности и бинарной защиты

Компания The Gentlemen считается одной из наиболее технически гибких компаний, работающих в настоящее время в сфере RaaS (Recovery as a Service). Ее разработчики используют множество методов, чтобы гарантировать, что скомпилированные EDR-клиенты избегут обнаружения, включая механизмы защиты бинарных файлов и использование имен файлов, имитирующих имена известных поставщиков решений в области кибербезопасности. Обман распространяется и на поддельную информацию о версиях, цифровые подписи и значки приложений.

Наиболее широко используемый инструмент в арсенале, GentleKiller, существует в восьми различных вариантах. Каждая версия имитирует различные легитимные продукты безопасности и использует отдельный уязвимый или вредоносный драйвер в рамках цепочки атак BYOVD. Эта платформа способна идентифицировать и атаковать около 400 процессов, связанных с 48 различными решениями безопасности от многочисленных поставщиков.

Растущее число случаев злоупотребления в отношении уязвимых водителей.

В последние месяцы участились случаи злоупотребления драйвером PoisonX.sys в рамках многочисленных кампаний BYOVD (Bring Your Own Device). В одном из инцидентов драйвер был использован для завершения работы платформы CrowdStrike Falcon EDR. В другой кампании злоумышленники использовали уязвимость BeyondTrust Remote Support для развертывания программ-вымогателей в сети жертвы, предварительно отключив средства безопасности с помощью PoisonX.sys и hrwfpdrv.sys.

Даже если исключить различия в брендинге и выборе драйверов, базовый код этих «убийц EDR» демонстрирует значительные структурные и поведенческие сходства, что убедительно указывает на использование общего шаблона разработки.

В систему Arsenal интегрированы устройства обнаружения и обнаружения чужих угроз (EDR Killers) сторонних производителей.

В набор инструментов джентльмена входит несколько внешних устройств EDR-контроллера на основе BYOVD:

• HexKiller (googleApiUtil64.sys), ранее считавшийся эксклюзивным для группы программ-вымогателей Warlock.
• ThrottleBlood (ThrottleBlood.sys), обнаруженный в атаках, связанных с филиалами MedusaLocker и DragonForce, а также HavocKiller или HwAudKiller (havoc.sys).
• OxideHarvest расширяет угрозу за пределы программ-вымогателей.

Исследователи также обнаружили вредоносную программу для кражи учетных данных на основе Rust под названием OxideHarvest, также известную как buildx641. Эта программа способна собирать конфиденциальную информацию из множества популярных браузеров, включая:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk и IceCat.

Централизованная модель, привлекающая партнеров.

В то время как многие группы, занимающиеся вымогательством, оставляют операции по обходу EDR своим филиалам, The Gentlemen решили централизовать эту возможность, предоставив филиалам готовый к использованию и стандартизированный набор инструментов для уничтожения EDR. Эта стратегия значительно снижает технический барьер для филиалов, упрощает развертывание программ-вымогателей и повышает общую привлекательность операции в киберпреступной экосистеме.