Rámec pre malvér GentleKiller

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Ransomware

Preložiť do:

Prevádzka Gentlemen ransomware-as-a-service (RaaS) aktívne vyvíja a udržiava komplexnú sadu nástrojov na detekciu a reakciu na koncové body (EDR), ktoré môžu partneri použiť na deaktiváciu bezpečnostných opatrení pred nasadením šifrovacích nástrojov ransomvéru.

V centre tohto arzenálu je framework známy ako GentleKiller, ktorý podporuje niekoľko nástrojov tretích strán a uniknutých nástrojov vrátane HexKiller, ThrottleBlood a HavocKiller. Tieto nástroje sú zjednotené prostredníctvom spoločného frameworku na obchádzanie obrany, ktorý ich maskuje ako legitímne bezpečnostné produkty pomocou falošných informácií o verzii, skopírovaných digitálnych certifikátov a klonovaných ikon aplikácií.

Obsah

Rýchle zneužitie novoodhalených zraniteľností

Jednou z najpozoruhodnejších schopností skupiny je jej schopnosť rýchlo operacionalizovať novo publikované exploity typu proof-of-concept (PoC) spojené s technikou Bring Your Own Vulnerable Driver (BYOVD). V mnohých prípadoch sú novo odhalené exploity integrované do sady nástrojov skupiny v priebehu niekoľkých dní od ich zverejnenia.

Tento zjednodušený prístup k vývoju poskytuje partnerom vysoko efektívne nástroje a zároveň znižuje požiadavky na vývoj pre samotných prevádzkovateľov. Model tiež umožňuje skupine neustále obnovovať svoj arzenál začlenením nových zneužívaných ovládačov takmer okamžite po zverejnení.

Rýchly nárast ekosystému ransomvéru

Od svojho vzniku v marci 2025 sa skupina The Gentlemen rýchlo stala jednou z najaktívnejších skupín ransomvéru na svete. Operácia si prihlásila zodpovednosť za 504 obetí, pričom väčšina cieľov sa nachádzala v juhovýchodnej Ázii, Južnej Amerike a západnej Európe.

Nedávne vyšetrovania identifikovali Alexandra Andreeviča Japajeva, 36-ročného ruského štátneho príslušníka známeho online ako „hastalamuerte“, ako vodcu operácie. Pred spustením programu The Gentlemen údajne pracoval ako partner niekoľkých ďalších ransomvérových programov vrátane Qilinu.

Pokročilé obchádzanie EDR prostredníctvom zosobnenia a binárnej ochrany

The Gentlemen sa považuje za jednu z technicky najflexibilnejších RaaS operácií, ktoré sú v súčasnosti aktívne. Jeho vývojári používajú viacero techník, aby zabezpečili, že kompilované EDR killery sa vyhnú odhaleniu, vrátane mechanizmov binárnej ochrany a používania názvov súborov navrhnutých tak, aby sa podobali názvom súborov známych dodávateľov kybernetickej bezpečnosti. Klam sa rozširuje aj na sfalšované informácie o verzii, digitálne podpisy a ikony aplikácií.

Najpoužívanejší nástroj v arzenáli, GentleKiller, existuje v ôsmich rôznych variantoch. Každá verzia napodobňuje iný legitímny bezpečnostný produkt a zneužíva samostatný zraniteľný alebo škodlivý ovládač ako súčasť reťazca útokov BYOVD. Tento framework je schopný identifikovať a zacieliť približne 400 procesov spojených so 48 rôznymi bezpečnostnými riešeniami od mnohých dodávateľov.

Rastúce zneužívanie zraniteľných vodičov

V posledných mesiacoch došlo k zvýšenému zneužívaniu ovládača PoisonX.sys vo viacerých kampaniach BYOVD. V jednom incidente bol ovládač použitý na ukončenie platformy CrowdStrike Falcon EDR. Ďalšia kampaň zahŕňala útočníkov, ktorí zneužívali službu BeyondTrust Remote Support na nasadenie ransomvéru v sieti obete po tom, čo najprv deaktivovali bezpečnostné produkty prostredníctvom PoisonX.sys a hrwfpdrv.sys.

Aj keď sa odstránia rozdiely v brandingu a výbere ovládačov, základný kód týchto EDR killerov vykazuje významné štrukturálne a behaviorálne podobnosti, čo silne naznačuje použitie zdieľanej vývojovej šablóny.

Zabijaci EDR tretích strán integrovaní do arzenálu

Sada nástrojov Gentlemen's obsahuje niekoľko externých nástrojov EDR založených na BYOVD:

HexKiller (googleApiUtil64.sys), o ktorom sa predtým predpokladalo, že je exkluzívny pre skupinu ransomvéru Warlock.
ThrottleBlood (ThrottleBlood.sys), pozorovaný pri útokoch spojených s pridruženými spoločnosťami MedusaLocker a DragonForce, a HavocKiller alebo HwAudKiller (havoc.sys).
OxideHarvest rozširuje hrozbu za hranice ransomvéru

Výskumníci tiež identifikovali malvér na báze platformy Rust s názvom OxideHarvest, známy aj ako buildx641. Tento malvér dokáže zhromažďovať citlivé informácie z mnohých populárnych prehliadačov vrátane:

Google Chrome, Microsoft Edge, Torch, Comodo, prehliadač Epic Privacy, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk a IceCat.

Centralizovaný model, ktorý priťahuje partnerov

Zatiaľ čo mnoho skupín zaoberajúcich sa ransomvérom ponecháva operácie obchádzania EDR na svojich partnerských spoločnostiach, organizácia The Gentlemen sa rozhodla centralizovať túto funkciu tým, že partnerským spoločnostiam poskytuje štandardizovaný balík nástrojov na ničenie EDR pripravený na použitie. Táto stratégia výrazne znižuje technickú bariéru vstupu pre partnerov, zjednodušuje nasadenie ransomvéru a zvyšuje celkovú atraktivitu operácie v rámci ekosystému kybernetickej kriminality.

Procesor platieb spoločnosti EnigmaSoft Digital River GmbH Vyhlásenie bankrotu nemá vplyv na ochranu zákazníkov SpyHunter proti škodlivému softvéru

Vyhľadávanie

Zmeniť región