Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) GentleKiller Malware Framework

GentleKiller Malware Framework

Med Mezo år Advanced Persistent Threat (APT), Ransomware
Översätt till:

Gentlemen ransomware-as-a-service (RaaS)-verksamheten utvecklar och underhåller aktivt en omfattande uppsättning verktyg för endpoint detection and response (EDR) som affiliates kan använda för att inaktivera säkerhetsskydd innan de distribuerar ransomware-krypterare.

I centrum för denna arsenal finns ett ramverk känt som GentleKiller, som stöds av flera tredjeparts- och läckta verktyg, inklusive HexKiller, ThrottleBlood och HavocKiller. Dessa verktyg är förenade genom ett gemensamt försvarsundangripande ramverk som döljer dem som legitima säkerhetsprodukter genom att använda falsk versionsinformation, kopierade digitala certifikat och klonade applikationsikoner.

Snabbt utnyttjande av nyligen avslöjade sårbarheter

En av gruppens mest anmärkningsvärda förmågor är dess förmåga att snabbt operationalisera nyligen publicerade proof-of-concept (PoC)-exploits kopplade till BYOVD-tekniken (Bring Your Own Vulnerable Driver). I många fall integreras nyligen avslöjade exploits i gruppens verktygslåda inom bara några dagar efter att de blivit offentligt tillgängliga.

Denna effektiviserade utvecklingsmetod ger affiliates mycket effektiva verktyg samtidigt som den minskar utvecklingskraven för operatörerna själva. Modellen gör det också möjligt för gruppen att kontinuerligt uppdatera sin arsenal genom att införliva nyligen missbrukade drivrutiner nästan omedelbart efter offentliggörande.

En snabb ökning av ransomware-ekosystemet

Sedan The Gentlemen uppstod i mars 2025 har de snabbt blivit en av de mest aktiva ransomware-grupperna världen över. Operationen har tagit ansvar för 504 offer, med majoriteten av målen lokaliserade i Sydostasien, Sydamerika och Västeuropa.

Nyligen genomförda utredningar har identifierat Alexander Andreevich Yapaev, en 36-årig rysk medborgare känd online som "hastalamuerte", som ledare för operationen. Innan han lanserade The Gentlemen arbetade han enligt uppgift som partner för flera andra ransomware-program, inklusive Qilin.

Avancerad EDR-undvikning genom personifiering och binärt skydd

The Gentlemen anses vara en av de tekniskt mest agila RaaS-operationerna som för närvarande är aktiva. Dess utvecklare använder flera tekniker för att säkerställa att kompilerade EDR-mördare undgår upptäckt, inklusive binära skyddsmekanismer och användning av filnamn som är utformade för att likna de från välkända cybersäkerhetsleverantörer. Bedrägeriet sträcker sig till förfalskad versionsinformation, digitala signaturer och applikationsikoner.

Det mest använda verktyget i arsenalen, GentleKiller, finns i åtta olika varianter. Varje version imiterar en annan legitim säkerhetsprodukt och missbrukar en separat sårbar eller skadlig drivrutin som en del av en BYOVD-attackkedja. Ramverket kan identifiera och rikta in sig på cirka 400 processer associerade med 48 olika säkerhetslösningar från ett flertal leverantörer.

Det växande övergreppet mot sårbara förare

De senaste månaderna har missbruket av drivrutinen PoisonX.sys ökat i flera BYOVD-kampanjer. I en incident användes drivrutinen för att avsluta CrowdStrike Falcon EDR-plattformen. En annan kampanj involverade angripare som utnyttjade BeyondTrust Remote Support för att distribuera ransomware i ett offernätverk efter att först ha inaktiverat säkerhetsprodukter via PoisonX.sys och hrwfpdrv.sys.

Även när skillnader i varumärkesbyggande och drivrutinsval tas bort, uppvisar den underliggande koden för dessa EDR-mördare betydande strukturella och beteendemässiga likheter, vilket starkt indikerar användningen av en delad utvecklingsmall.

Tredjeparts EDR-mördare integrerade i Arsenal

Gentlemen's toolkit innehåller flera externa BYOVD-baserade EDR-mördare:

  • HexKiller (googleApiUtil64.sys), som tidigare tros vara exklusivt för Warlock ransomware-gruppen.
  • ThrottleBlood (ThrottleBlood.sys), observerad i attacker kopplade till MedusaLocker och DragonForce-dotterbolag, och HavocKiller eller HwAudKiller (havoc.sys).
  • OxideHarvest utökar hotet bortom ransomware

Forskare har också identifierat en Rust-baserad skadlig kod som stjäl autentiseringsuppgifter vid namn OxideHarvest, även känd som buildx641. Stjälen kan samla in känslig information från ett flertal populära webbläsare, inklusive:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk och IceCat.

En centraliserad modell som lockar affiliates

Medan många ransomware-grupper överlåter EDR-kringgångsoperationer till sina dotterbolag, har The Gentlemen valt att centralisera denna funktion genom att förse dotterbolag med en färdig och standardiserad EDR-killer-svit. Denna strategi sänker avsevärt det tekniska inträdeshinderet för dotterbolag, förenklar ransomware-distributionen och ökar verksamhetens övergripande attraktivitet inom det cyberkriminella ekosystemet.

Mest sedda

Läser in...