బహుళ-లైసెన్స్ తగ్గింపు కోట్
బెదిరింపు డేటాబేస్ అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT) జెంటిల్‌కిల్లర్ మాల్వేర్ ఫ్రేమ్‌వర్క్

జెంటిల్‌కిల్లర్ మాల్వేర్ ఫ్రేమ్‌వర్క్

అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT), Ransomwareలో Mezo నాటికి
దీనికి అనువదించండి:

జెంటిల్మెన్ రాన్సమ్‌వేర్-యాజ్-ఎ-సర్వీస్ (RaaS) ఆపరేషన్, రాన్సమ్‌వేర్ ఎన్‌క్రిప్టర్‌లను అమలు చేయడానికి ముందు భద్రతా రక్షణలను నిలిపివేయడానికి అనుబంధ సంస్థలు ఉపయోగించగల సమగ్రమైన ఎండ్‌పాయింట్ డిటెక్షన్ అండ్ రెస్పాన్స్ (EDR) కిల్లింగ్ టూల్స్ సూట్‌ను చురుకుగా అభివృద్ధి చేస్తూ మరియు నిర్వహిస్తూ ఉంది.

ఈ ఆయుధాగారానికి కేంద్రంగా జెంటిల్‌కిల్లర్ అనే ఒక ఫ్రేమ్‌వర్క్ ఉంది, దీనికి హెక్స్‌కిల్లర్, థ్రాటిల్‌బ్లడ్, మరియు హావాక్‌కిల్లర్ వంటి అనేక థర్డ్-పార్టీ మరియు లీక్ అయిన టూల్స్ మద్దతు ఇస్తున్నాయి. ఈ యుటిలిటీలు ఒక ఉమ్మడి రక్షణ-తప్పించుకునే ఫ్రేమ్‌వర్క్ ద్వారా ఏకీకృతం చేయబడ్డాయి. ఇది నకిలీ వెర్షన్ సమాచారం, కాపీ చేయబడిన డిజిటల్ సర్టిఫికేట్లు, మరియు క్లోన్ చేయబడిన అప్లికేషన్ ఐకాన్‌లను ఉపయోగించి, వాటిని చట్టబద్ధమైన భద్రతా ఉత్పత్తులుగా మారువేషంలో ఉంచుతుంది.

కొత్తగా వెల్లడైన బలహీనతలను వేగంగా ఉపయోగించుకోవడం

ఈ బృందం యొక్క అత్యంత ముఖ్యమైన సామర్థ్యాలలో ఒకటి, బ్రింగ్ యువర్ ఓన్ వల్నరబుల్ డ్రైవర్ (BYOVD) టెక్నిక్‌కు సంబంధించిన, కొత్తగా ప్రచురించబడిన ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ (PoC) ఎక్స్‌ప్లాయిట్‌లను వేగంగా కార్యాచరణలోకి తీసుకురాగలగడం. చాలా సందర్భాలలో, కొత్తగా వెల్లడైన ఎక్స్‌ప్లాయిట్‌లు ప్రజలకు అందుబాటులోకి వచ్చిన కొద్ది రోజుల్లోనే బృందం యొక్క టూల్‌కిట్‌లో విలీనం చేయబడతాయి.

ఈ సరళీకృత అభివృద్ధి విధానం అనుబంధ సంస్థలకు అత్యంత ప్రభావవంతమైన సాధనాలను అందిస్తూనే, ఆపరేటర్లకు అవసరమైన అభివృద్ధి అవసరాలను తగ్గిస్తుంది. అంతేకాకుండా, బహిరంగంగా వెల్లడించిన వెంటనే కొత్తగా వేధింపులకు గురైన డ్రైవర్లను చేర్చుకోవడం ద్వారా, ఈ నమూనా గ్రూప్ తన ఆయుధాగారాన్ని నిరంతరం నవీకరించుకోవడానికి వీలు కల్పిస్తుంది.

రాన్సమ్‌వేర్ ఎకోసిస్టమ్‌లో వేగవంతమైన పెరుగుదల

మార్చి 2025లో ఆవిర్భవించినప్పటి నుండి, 'ది జెంటిల్‌మెన్' ప్రపంచవ్యాప్తంగా అత్యంత చురుకైన ర్యాన్సమ్‌వేర్ గ్రూపులలో ఒకటిగా అతి త్వరగా మారింది. ఈ ఆపరేషన్ 504 మంది బాధితులను లక్ష్యంగా చేసుకుంది, వీరిలో అధికశాతం మంది ఆగ్నేయాసియా, దక్షిణ అమెరికా మరియు పశ్చిమ ఐరోపాలో ఉన్నారు.

ఇటీవలి దర్యాప్తులలో, ఆన్‌లైన్‌లో 'hastalamuerte'గా పిలువబడే 36 ఏళ్ల రష్యన్ జాతీయుడు అలెగ్జాండర్ ఆండ్రీవిచ్ యాపాయెవ్ ఈ ఆపరేషన్‌కు నాయకుడిగా గుర్తించబడ్డాడు. 'ది జెంటిల్‌మెన్'ను ప్రారంభించడానికి ముందు, అతను కిలిన్‌తో సహా అనేక ఇతర రాన్సమ్‌వేర్ ప్రోగ్రామ్‌లకు అనుబంధ సభ్యుడిగా పనిచేసినట్లు సమాచారం.

నకిలీ గుర్తింపు మరియు బైనరీ రక్షణ ద్వారా అధునాతన EDR ఎగవేత

ప్రస్తుతం పనిచేస్తున్న RaaS కార్యకలాపాలలో 'ది జెంటిల్మెన్' అత్యంత సాంకేతికంగా చురుకైన వాటిలో ఒకటిగా పరిగణించబడుతుంది. దీని డెవలపర్లు, కంపైల్ చేయబడిన EDR కిల్లర్‌లు పట్టుబడకుండా తప్పించుకునేలా చేయడానికి, బైనరీ రక్షణ యంత్రాంగాలు మరియు సుప్రసిద్ధ సైబర్‌సెక్యూరిటీ విక్రేతల పేర్లను పోలి ఉండేలా రూపొందించిన ఫైల్‌పేర్ల వాడకంతో సహా అనేక పద్ధతులను ఉపయోగిస్తారు. ఈ మోసం నకిలీ వెర్షన్ సమాచారం, డిజిటల్ సంతకాలు మరియు అప్లికేషన్ ఐకాన్‌ల వరకు విస్తరించి ఉంది.

ఈ ఆయుధాగారంలో అత్యంత విస్తృతంగా ఉపయోగించే సాధనమైన జెంటిల్‌కిల్లర్, ఎనిమిది విభిన్న వేరియంట్లలో లభిస్తుంది. ప్రతి వెర్షన్ ఒక విభిన్నమైన చట్టబద్ధమైన భద్రతా ఉత్పత్తిని అనుకరిస్తూ, BYOVD దాడి గొలుసులో భాగంగా ఒక ప్రత్యేకమైన బలహీనమైన లేదా హానికరమైన డ్రైవర్‌ను దుర్వినియోగం చేస్తుంది. ఈ ఫ్రేమ్‌వర్క్ అనేక విక్రేతల నుండి 48 విభిన్న భద్రతా పరిష్కారాలకు సంబంధించిన సుమారు 400 ప్రాసెస్‌లను గుర్తించి, లక్ష్యంగా చేసుకోగల సామర్థ్యాన్ని కలిగి ఉంది.

బలహీనమైన డ్రైవర్ల దుర్వినియోగం పెరుగుతోంది

ఇటీవలి నెలల్లో అనేక BYOVD దాడులలో PoisonX.sys డ్రైవర్‌ను దుర్వినియోగం చేయడం పెరిగింది. ఒక సంఘటనలో, CrowdStrike Falcon EDR ప్లాట్‌ఫారమ్‌ను నిలిపివేయడానికి ఈ డ్రైవర్‌ను ఉపయోగించారు. మరొక దాడిలో, దాడి చేసేవారు PoisonX.sys మరియు hrwfpdrv.sys ద్వారా భద్రతా ఉత్పత్తులను మొదట నిలిపివేసిన తర్వాత, బాధితుల నెట్‌వర్క్‌లో ర్యాన్సమ్‌వేర్‌ను ప్రవేశపెట్టడానికి BeyondTrust రిమోట్ సపోర్ట్‌ను ఉపయోగించుకున్నారు.

బ్రాండింగ్ మరియు డ్రైవర్ ఎంపికలోని తేడాలను తొలగించినప్పటికీ, ఈ EDR కిల్లర్‌ల యొక్క అంతర్లీన కోడ్ గణనీయమైన నిర్మాణాత్మక మరియు ప్రవర్తనా సారూప్యతలను ప్రదర్శిస్తుంది, ఇది ఉమ్మడి అభివృద్ధి టెంప్లేట్ వాడకాన్ని బలంగా సూచిస్తుంది.

ఆయుధాగారంలోకి థర్డ్-పార్టీ EDR కిల్లర్‌లు ఏకీకృతం చేయబడ్డాయి

జెంటిల్మెన్స్ టూల్కిట్ అనేక బాహ్య BYOVD-ఆధారిత EDR కిల్లర్‌లను పొందుపరుస్తుంది:

  • HexKiller (googleApiUtil64.sys), ఇదివరకు వార్లాక్ ర్యాన్సమ్‌వేర్ గ్రూప్‌కు మాత్రమే ప్రత్యేకమైనదిగా భావించబడింది.
  • మెడుసాలాకర్ మరియు డ్రాగన్‌ఫోర్స్ అనుబంధ సంస్థలతో ముడిపడి ఉన్న దాడులలో కనిపించే థ్రాటిల్‌బ్లడ్ (ThrottleBlood.sys), మరియు హావోక్‌కిల్లర్ లేదా HwAudKiller (havoc.sys).
  • ఆక్సైడ్‌హార్వెస్ట్ ర్యాన్సమ్‌వేర్‌కు మించి ముప్పును విస్తరిస్తోంది

పరిశోధకులు ఆక్సైడ్‌హార్వెస్ట్ (OxideHarvest) అనే రస్ట్ ఆధారిత క్రెడెన్షియల్-దొంగిలించే మాల్వేర్‌ను కూడా గుర్తించారు, దీనిని బిల్డ్‌ఎక్స్641 (buildx641) అని కూడా పిలుస్తారు. ఈ దొంగ మాల్వేర్ అనేక ప్రముఖ బ్రౌజర్‌ల నుండి సున్నితమైన సమాచారాన్ని సేకరించగలదు, వాటిలో కొన్ని:

గూగుల్ క్రోమ్, మైక్రోసాఫ్ట్ ఎడ్జ్, టార్చ్, కొమోడో, ఎపిక్ ప్రైవసీ బ్రౌజర్, వివాల్డి, బ్రేవ్, ఒపెరా, ఒపెరాజిఎక్స్, మొజిల్లా ఫైర్‌ఫాక్స్, వాటర్‌ఫాక్స్, బ్లాక్‌హాక్ మరియు ఐస్‌క్యాట్.

అనుబంధ సంస్థలను ఆకర్షించే కేంద్రీకృత నమూనా

అనేక రాన్సమ్‌వేర్ గ్రూపులు EDR బైపాస్ కార్యకలాపాలను తమ అనుబంధ సంస్థలకు వదిలివేస్తుండగా, 'ది జెంటిల్‌మెన్' మాత్రం అనుబంధ సంస్థలకు ఉపయోగించడానికి సిద్ధంగా ఉన్న మరియు ప్రామాణికమైన EDR-కిల్లర్ సూట్‌ను అందించడం ద్వారా ఈ సామర్థ్యాన్ని కేంద్రీకృతం చేయాలని ఎంచుకుంది. ఈ వ్యూహం అనుబంధ సంస్థలకు సాంకేతిక ప్రవేశ అవరోధాన్ని గణనీయంగా తగ్గిస్తుంది, రాన్సమ్‌వేర్ విస్తరణను సులభతరం చేస్తుంది మరియు సైబర్ నేర ప్రపంచంలో ఈ ఆపరేషన్ యొక్క మొత్తం ఆకర్షణను పెంచుతుంది.

లోడ్...