Okvir za zaščito pred zlonamerno programsko opremo GentleKiller

Do leta Mezo leta Napredna trajna grožnja (APT), Ransomware

Prevedi v:

Operacija Gentlemen ransomware-as-a-service (RaaS) aktivno razvija in vzdržuje celovit nabor orodij za zaznavanje in odzivanje na končne točke (EDR), ki jih lahko podružnice uporabijo za onemogočanje varnostnih zaščit pred uporabo šifrirnih programov za izsiljevalsko programsko opremo.

V središču tega arzenala je ogrodje, znano kot GentleKiller, ki ga podpira več orodij tretjih oseb in orodij, ki so pricurljala v javnost, vključno s HexKillerjem, ThrottleBloodom in HavocKillerjem. Ta orodja so poenotena prek skupnega ogrodja za izogibanje obrambi, ki jih prikriva kot legitimne varnostne izdelke z uporabo lažnih informacij o različici, kopiranih digitalnih potrdil in kloniranih ikon aplikacij.

Kazalo

Hitro izkoriščanje novo odkritih ranljivosti

Ena najpomembnejših zmogljivosti skupine je njena sposobnost hitre operacionalizacije na novo objavljenih izkoriščanj koncepta (PoC), povezanih s tehniko »Prinesi svoj ranljiv gonilnik« (BYOVD). V mnogih primerih so na novo razkrita izkoriščanja integrirana v nabor orodij skupine v le nekaj dneh po tem, ko postanejo javno dostopna.

Ta poenostavljen pristop k razvoju zagotavlja podružnicam zelo učinkovita orodja, hkrati pa zmanjšuje zahteve glede razvoja za same operaterje. Model skupini omogoča tudi nenehno osveževanje svojega arzenala z vključitvijo novih zlorabljenih gonilnikov skoraj takoj po javnem razkritju.

Hiter porast ekosistema izsiljevalske programske opreme

Odkar so se pojavili marca 2025, so se Gentlemeni hitro spremenili v eno najbolj aktivnih skupin za izsiljevalsko programsko opremo na svetu. Operacija je prevzela odgovornost za 504 žrtve, večina tarč pa se nahaja v jugovzhodni Aziji, Južni Ameriki in zahodni Evropi.

Nedavne preiskave so kot vodjo operacije razkrile 36-letnega ruskega državljana Aleksandra Andrejeviča Japajeva, na spletu znanega kot »hastalamuerte«. Preden je zagnal program The Gentlemen, naj bi delal kot sodelavec več drugih programov izsiljevalske programske opreme, vključno s programom Qilin.

Napredno izogibanje EDR z lažnim predstavljanjem in binarno zaščito

The Gentlemen velja za eno tehnično najbolj agilnih operacij RaaS, ki so trenutno aktivne. Njegovi razvijalci uporabljajo več tehnik, da zagotovijo, da se prevedeni EDR morilci izognejo odkrivanju, vključno z mehanizmi za binarno zaščito in uporabo imen datotek, ki so zasnovana tako, da so podobna imenom znanih ponudnikov kibernetske varnosti. Prevara se razteza na ponarejene informacije o različici, digitalne podpise in ikone aplikacij.

Najbolj razširjeno orodje v arzenalu, GentleKiller, obstaja v osmih različnih različicah. Vsaka različica posnema drugačen legitimni varnostni izdelek in zlorablja ločen ranljiv ali zlonameren gonilnik kot del napadalne verige BYOVD. Okvir je sposoben prepoznati in ciljati na približno 400 procesov, povezanih s 48 različnimi varnostnimi rešitvami številnih ponudnikov.

Naraščajoča zloraba ranljivih voznikov

V zadnjih mesecih se je v več kampanjah BYOVD povečala zloraba gonilnika PoisonX.sys. V enem incidentu je bil gonilnik uporabljen za prekinitev platforme CrowdStrike Falcon EDR. V drugi kampanji so napadalci izkoristili BeyondTrust Remote Support za namestitev izsiljevalske programske opreme v omrežju žrtve, potem ko so najprej onemogočili varnostne izdelke prek PoisonX.sys in hrwfpdrv.sys.

Tudi če se odstranijo razlike v blagovni znamki in izbiri gonilnikov, osnovna koda teh ubijalcev EDR kaže znatne strukturne in vedenjske podobnosti, kar močno kaže na uporabo skupne razvojne predloge.

V arzenal integrirani ubijalci EDR tretjih oseb

Gentlemen's Toolkit vključuje več zunanjih orodij za uničevanje EDR, ki temeljijo na BYOVD:

HexKiller (googleApiUtil64.sys), za katerega se je prej verjelo, da je ekskluziven za skupino izsiljevalskih programov Warlock.
ThrottleBlood (ThrottleBlood.sys), opažen pri napadih, povezanih s podružnicami MedusaLocker in DragonForce, ter HavocKiller ali HwAudKiller (havoc.sys).
OxideHarvest širi grožnjo onkraj izsiljevalske programske opreme

Raziskovalci so odkrili tudi zlonamerno programsko opremo OxideHarvest, znano tudi kot buildx641, ki krade poverilnice in temelji na tehnologiji Rust. Ta programska oprema lahko zbira občutljive podatke iz številnih priljubljenih brskalnikov, vključno z:

Google Chrome, Microsoft Edge, Torch, Comodo, brskalnik za zasebnost Epic, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk in IceCat.

Centraliziran model, ki privablja partnerje

Medtem ko številne skupine, ki se ukvarjajo z izsiljevalsko programsko opremo, prepuščajo operacije obhoda EDR svojim podružnicam, se je skupina The Gentlemen odločila za centralizacijo te zmogljivosti tako, da je podružnicam zagotovila pripravljen in standardiziran paket za uničevanje EDR. Ta strategija znatno znižuje tehnično oviro za vstop za podružnice, poenostavlja uvajanje izsiljevalske programske opreme in povečuje splošno privlačnost operacije znotraj ekosistema kibernetskega kriminala.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo