Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) GentleKiller Malware Framework

GentleKiller Malware Framework

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Ransomware
Përkthe në:

Operacioni Gentlemen ransomware-as-a-service (RaaS) po zhvillon dhe mirëmban në mënyrë aktive një suitë gjithëpërfshirëse mjetesh për zhdukjen e zbulimit dhe përgjigjes së pikave fundore (EDR) që bashkëpunëtorët mund t'i përdorin për të çaktivizuar mbrojtjet e sigurisë përpara se të vendosin enkriptuesit e ransomware-it.

Në qendër të këtij arsenali është një strukturë e njohur si GentleKiller, e mbështetur nga disa mjete të palëve të treta dhe mjete të rrjedhura, duke përfshirë HexKiller, ThrottleBlood dhe HavocKiller. Këto shërbime janë të unifikuara përmes një strukture të përbashkët mbrojtjeje-shmangie që i maskon ato si produkte legjitime sigurie duke përdorur informacione të rreme versioni, certifikata dixhitale të kopjuara dhe ikona të klonuara aplikacionesh.

Shfrytëzimi i shpejtë i dobësive të zbuluara rishtazi

Një nga aftësitë më të spikatura të grupit është aftësia e tij për të vënë në funksionim të shpejtë shfrytëzimet e sapo publikuara të provës së konceptit (PoC) të lidhura me teknikën Bring Your Own Vulnerable Driver (BYOVD). Në shumë raste, shfrytëzimet e sapo zbuluara integrohen në mjetet e grupit vetëm brenda pak ditësh nga bërja e tyre publike.

Kjo qasje e efektshme zhvillimi u ofron bashkëpunëtorëve mjete shumë efektive, duke zvogëluar njëkohësisht kërkesat e zhvillimit për vetë operatorët. Modeli gjithashtu i mundëson grupit të rifreskojë vazhdimisht arsenalin e tij duke përfshirë shoferë të rinj të keqpërdorur pothuajse menjëherë pas publikimit.

Një rritje e shpejtë në ekosistemin e Ransomware-it

Që nga shfaqja në mars të vitit 2025, The Gentlemen është bërë shpejt një nga grupet më aktive të ransomware-it në mbarë botën. Operacioni ka marrë përgjegjësinë për 504 viktima, me shumicën e objektivave të vendosura në Azinë Juglindore, Amerikën e Jugut dhe Evropën Perëndimore.

Hetimet e fundit kanë identifikuar Alexander Andreevich Yapaev, një shtetas rus 36-vjeçar i njohur në internet si 'hastalamuerte', si udhëheqësin e operacionit. Përpara se të lançonte The Gentlemen, ai thuhet se ka punuar si bashkëpunëtor për disa programe të tjera ransomware, përfshirë Qilin.

Shmangie e Avancuar EDR përmes Imitimit dhe Mbrojtjes Binare

"Zotërinjtë" konsiderohet si një nga operacionet RaaS më të shkathëta teknikisht që është aktualisht aktiv. Zhvilluesit e tij përdorin teknika të shumta për të siguruar që "vrasësit" e kompiluar EDR të shmangin zbulimin, duke përfshirë mekanizmat binare të mbrojtjes dhe përdorimin e emrave të skedarëve të dizajnuar për t'iu ngjarë atyre të shitësve të njohur të sigurisë kibernetike. Mashtrimi shtrihet në informacionin e falsifikuar të versionit, nënshkrimet dixhitale dhe ikonat e aplikacioneve.

Mjeti më i përdorur gjerësisht në arsenal, GentleKiller, ekziston në tetë variante të dallueshme. Çdo version imiton një produkt të ndryshëm legjitim sigurie dhe abuzon me një drajver të veçantë të cenueshëm ose keqdashës si pjesë e një zinxhiri sulmesh BYOVD. Korniza është e aftë të identifikojë dhe shënjestrojë afërsisht 400 procese të shoqëruara me 48 zgjidhje të ndryshme sigurie nga shitës të shumtë.

Abuzimi në rritje i shoferëve të cenueshëm

Muajt e fundit kanë parë abuzim në rritje të drajverit PoisonX.sys në fushata të shumta BYOVD. Në një incident, drajveri u përdor për të mbyllur platformën CrowdStrike Falcon EDR. Një fushatë tjetër përfshinte sulmues që shfrytëzonin BeyondTrust Remote Support për të vendosur ransomware brenda një rrjeti viktimash pasi kishin çaktivizuar fillimisht produktet e sigurisë përmes PoisonX.sys dhe hrwfpdrv.sys.

Edhe kur hiqen ndryshimet në markë dhe përzgjedhjen e drajverëve, kodi themelor i këtyre “vrasësve” të EDR tregon ngjashmëri të konsiderueshme strukturore dhe sjelljeje, duke treguar fuqimisht përdorimin e një shablloni të përbashkët zhvillimi.

Vrasësit EDR të palëve të treta të integruar në Arsenal

Seti i mjeteve të Zotërinjve përfshin disa "vrasës" të jashtëm EDR të bazuar në BYOVD:

  • HexKiller (googleApiUtil64.sys), që më parë besohej të ishte ekskluziv për grupin e ransomware-ëve Warlock.
  • ThrottleBlood (ThrottleBlood.sys), i vërejtur në sulmet e lidhura me bashkëpunëtorët e MedusaLocker dhe DragonForce, dhe HavocKiller ose HwAudKiller (havoc.sys).
  • OxideHarvest zgjeron kërcënimin përtej Ransomware-it

Studiuesit kanë identifikuar gjithashtu një program keqdashës të bazuar në Rust, të quajtur OxideHarvest, i njohur edhe si buildx641, që vjedh kredenciale. Vjedhësi është i aftë të mbledhë informacione të ndjeshme nga shumë shfletues të njohur, duke përfshirë:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk dhe IceCat.

Një model i centralizuar që tërheq bashkëpunëtorët

Ndërkohë që shumë grupe ransomware ua lënë operacionet anashkaluese të EDR-së bashkëpunëtorëve të tyre, The Gentlemen ka zgjedhur ta centralizojë këtë aftësi duke u ofruar bashkëpunëtorëve një suitë EDR-killer të gatshme për përdorim dhe të standardizuar. Kjo strategji ul ndjeshëm barrierën teknike të hyrjes për bashkëpunëtorët, thjeshton vendosjen e ransomware-it dhe rrit atraktivitetin e përgjithshëm të operacionit brenda ekosistemit të krimit kibernetik.

Po ngarkohet...