Фреймворк для захисту від шкідливого програмного забезпечення GentleKiller

Операція Gentlemen ransomware-as-a-service (RaaS) активно розробляє та підтримує комплексний набір інструментів для виявлення та реагування на кінцеві точки (EDR), які афілійовані особи можуть використовувати для вимкнення засобів безпеки перед розгортанням шифрувальників програм-вимагачів.

У центрі цього арсеналу знаходиться фреймворк під назвою GentleKiller, який підтримується кількома сторонніми та витіклими інструментами, включаючи HexKiller, ThrottleBlood та HavocKiller. Ці утиліти об'єднані спільною платформою для обходу захисту, яка маскує їх під легітимні продукти безпеки, використовуючи підроблену інформацію про версії, скопійовані цифрові сертифікати та клоновані значки програм.

Швидке використання нещодавно виявлених вразливостей

Однією з найвизначніших можливостей групи є її здатність швидко впроваджувати щойно опубліковані експлойти на основі підтвердження концепції (PoC), пов'язані з технікою «Принеси свій власний вразливий драйвер» (BYOVD). У багатьох випадках щойно розкриті експлойти інтегруються в інструментарій групи лише протягом кількох днів після того, як стають загальнодоступними.

Такий оптимізований підхід до розробки надає афілійованим особам високоефективні інструменти, водночас знижуючи вимоги до розробки для самих операторів. Модель також дозволяє групі постійно оновлювати свій арсенал, включаючи нові драйвери, що стали предметом зловживань, майже одразу після публічного розкриття інформації.

Швидке зростання екосистеми програм-вимагачів

З моменту появи у березні 2025 року, The Gentlemen швидко стали однією з найактивніших груп розповсюджувачів програм-вимагачів у світі. Ця операція взяла на себе відповідальність за 504 жертви, більшість цілей яких розташовані в Південно-Східній Азії, Південній Америці та Західній Європі.

Нещодавні розслідування встановили, що керівником операції був 36-річний громадянин Росії Олександр Андрійович Япаєв, відомий в інтернеті як «hastalamuerte». До запуску The Gentlemen він, як повідомляється, працював афілійованою особою кількох інших програм-вимагачів, зокрема Qilin.

Розширене ухилення від EDR шляхом імперсонації та бінарного захисту

«Джентльмени» вважаються однією з найгнучкіших технічно складних операцій RaaS, що діють наразі. Їхні розробники використовують численні методи, щоб гарантувати, що скомпільовані EDR-кілери уникнуть виявлення, включаючи механізми захисту бінарних файлів та використання імен файлів, розроблених так, щоб вони нагадували імена відомих постачальників кібербезпеки. Обман поширюється на підроблену інформацію про версію, цифрові підписи та значки програм.

Найпоширеніший інструмент в арсеналі, GentleKiller, існує у восьми різних варіантах. Кожна версія імітує окремий легітимний продукт безпеки та використовує окремий вразливий або шкідливий драйвер як частину ланцюжка атак BYOVD. Фреймворк здатний ідентифікувати та атакувати приблизно 400 процесів, пов'язаних із 48 різними рішеннями безпеки від численних постачальників.

Зростаюче зловживання вразливими водіями

Останніми місяцями спостерігалося посилення випадків зловживання драйвером PoisonX.sys у кількох кампаніях BYOVD. В одному з випадків драйвер використовувався для завершення роботи платформи CrowdStrike Falcon EDR. В іншій кампанії зловмисники використовували BeyondTrust Remote Support для розгортання програмного забезпечення-вимагача в мережі жертви після попереднього вимкнення продуктів безпеки через PoisonX.sys та hrwfpdrv.sys.

Навіть якщо усунути відмінності в брендингу та виборі драйверів, базовий код цих EDR-вбивць демонструє значну структурну та поведінкову схожість, що переконливо вказує на використання спільного шаблону розробки.

Сторонні засоби знищення EDR, інтегровані в арсенал

Інструментарій Gentlemen's включає кілька зовнішніх засобів EDR на основі BYOVD:

• HexKiller (googleApiUtil64.sys), який раніше вважався ексклюзивним для групи програм-вимагачів Warlock.
• ThrottleBlood (ThrottleBlood.sys), що спостерігається в атаках, пов'язаних з афілійованими особами MedusaLocker та DragonForce, а також HavocKiller або HwAudKiller (havoc.sys).
• OxideHarvest розширює загрозу за межі програм-вимагачів

Дослідники також виявили шкідливе програмне забезпечення для крадіжки облікових даних на базі Rust під назвою OxideHarvest, також відоме як buildx641. Викрадач здатний збирати конфіденційну інформацію з численних популярних браузерів, зокрема:

Google Chrome, Microsoft Edge, Torch, Comodo, браузер конфіденційності Epic, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk та IceCat.

Централізована модель, яка приваблює партнерів

Хоча багато груп розслідувачів програм-вимагачів залишають операції з обходу EDR своїм афілійованим особам, The Gentlemen вирішили централізувати цю можливість, надавши афілійованим особам готовий до використання та стандартизований пакет засобів для знищення EDR. Ця стратегія значно знижує технічний бар'єр для входу для афілійованих осіб, спрощує розгортання програм-вимагачів та підвищує загальну привабливість операції в екосистемі кіберзлочинців.