Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) GentleKiller Malware Framework

GentleKiller Malware Framework

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Ransomware
Übersetzen Sie in:

Die Gentlemen-Ransomware-as-a-Service (RaaS)-Operation entwickelt und pflegt aktiv eine umfassende Suite von Endpoint Detection and Response (EDR) Killing Tools, die Partner nutzen können, um Sicherheitsvorkehrungen zu deaktivieren, bevor sie Ransomware-Verschlüsselungsprogramme einsetzen.

Im Zentrum dieses Arsenals steht ein Framework namens GentleKiller, das von verschiedenen Drittanbieter-Tools und geleakten Programmen unterstützt wird, darunter HexKiller, ThrottleBlood und HavocKiller. Diese Tools sind durch ein gemeinsames Framework zur Umgehung von Sicherheitsvorkehrungen miteinander verbunden, das sie mithilfe gefälschter Versionsinformationen, kopierter digitaler Zertifikate und geklonter Anwendungssymbole als legitime Sicherheitsprodukte tarnt.

Schnelle Ausnutzung neu aufgedeckter Sicherheitslücken

Eine der bemerkenswertesten Fähigkeiten der Gruppe ist ihre Fähigkeit, neu veröffentlichte Proof-of-Concept-Exploits (PoC) im Zusammenhang mit der BYOVD-Technik (Bring Your Own Vulnerable Driver) schnell in die Praxis umzusetzen. In vielen Fällen werden neu aufgedeckte Exploits innerhalb weniger Tage nach ihrer Veröffentlichung in das Toolkit der Gruppe integriert.

Dieser optimierte Entwicklungsansatz stellt Partnern hochwirksame Werkzeuge zur Verfügung und reduziert gleichzeitig den Entwicklungsaufwand für die Betreiber selbst. Das Modell ermöglicht es der Gruppe außerdem, ihr Repertoire kontinuierlich zu aktualisieren, indem neu entdeckte, missbrauchte Treiber nahezu unmittelbar nach ihrer öffentlichen Bekanntgabe integriert werden.

Ein rasanter Anstieg des Ransomware-Ökosystems

Seit ihrem ersten Auftreten im März 2025 hat sich die Ransomware-Gruppe „The Gentlemen“ schnell zu einer der aktivsten weltweit entwickelt. Die Gruppe hat sich zu 504 Opfern bekannt, wobei sich die meisten Ziele in Südostasien, Südamerika und Westeuropa befinden.

Jüngste Ermittlungen haben Alexander Andreevich Yapaev, einen 36-jährigen russischen Staatsbürger, der online unter dem Namen „hastalamuerte“ bekannt ist, als Anführer der Operation identifiziert. Vor dem Start von „The Gentlemen“ soll er als Affiliate für mehrere andere Ransomware-Programme, darunter Qilin, tätig gewesen sein.

Erweiterte EDR-Umgehung durch Identitätsdiebstahl und Binärschutz

The Gentlemen gilt als einer der technisch agilsten RaaS-Anbieter auf dem Markt. Die Entwickler setzen verschiedene Techniken ein, um sicherzustellen, dass die kompilierten EDR-Killer unentdeckt bleiben. Dazu gehören binäre Schutzmechanismen und die Verwendung von Dateinamen, die denen bekannter Cybersicherheitsanbieter ähneln. Die Täuschung erstreckt sich auch auf gefälschte Versionsinformationen, digitale Signaturen und Anwendungssymbole.

Das am weitesten verbreitete Werkzeug im Arsenal, GentleKiller, existiert in acht verschiedenen Varianten. Jede Version imitiert ein anderes legitimes Sicherheitsprodukt und nutzt einen separaten anfälligen oder bösartigen Treiber im Rahmen einer BYOVD-Angriffskette aus. Das Framework ist in der Lage, etwa 400 Prozesse zu identifizieren und gezielt anzugreifen, die mit 48 verschiedenen Sicherheitslösungen zahlreicher Hersteller verknüpft sind.

Der zunehmende Missbrauch schutzbedürftiger Fahrer

In den letzten Monaten kam es vermehrt zum Missbrauch des Treibers PoisonX.sys in mehreren BYOVD-Kampagnen. In einem Fall wurde der Treiber verwendet, um die CrowdStrike Falcon EDR-Plattform zu beenden. In einer anderen Kampagne nutzten Angreifer BeyondTrust Remote Support, um Ransomware in einem Opfernetzwerk zu verbreiten, nachdem sie zuvor Sicherheitsprodukte mithilfe von PoisonX.sys und hrwfpdrv.sys deaktiviert hatten.

Selbst wenn man die Unterschiede in der Markenführung und der Treiberauswahl außer Acht lässt, weist der zugrundeliegende Code dieser EDR-Killer signifikante strukturelle und verhaltensbezogene Ähnlichkeiten auf, was stark auf die Verwendung einer gemeinsamen Entwicklungsvorlage hindeutet.

Drittanbieter-EDR-Killer in das Arsenal integriert

Das Gentlemen's Toolkit beinhaltet mehrere externe, BYOVD-basierte EDR-Killer:

  • HexKiller (googleApiUtil64.sys), von dem man bisher annahm, dass es ausschließlich zur Warlock-Ransomware-Gruppe gehört.
  • ThrottleBlood (ThrottleBlood.sys), beobachtet bei Angriffen, die mit MedusaLocker und DragonForce-Mitgliedern in Verbindung stehen, und HavocKiller oder HwAudKiller (havoc.sys).
  • OxideHarvest erweitert die Bedrohung über Ransomware hinaus.

Forscher haben außerdem eine auf Rust basierende Malware namens OxideHarvest, auch bekannt als buildx641, identifiziert, die Anmeldeinformationen stiehlt. Diese Malware ist in der Lage, sensible Daten aus zahlreichen gängigen Browsern zu sammeln, darunter:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk und IceCat.

Ein zentralisiertes Modell, das Partner anzieht

Während viele Ransomware-Gruppen die Umgehung von EDR-Systemen ihren Partnern überlassen, hat sich The Gentlemen für eine zentrale Lösung entschieden und stellt Partnern eine sofort einsatzbereite und standardisierte EDR-Killer-Suite zur Verfügung. Diese Strategie senkt die technischen Einstiegshürden für Partner erheblich, vereinfacht die Verbreitung von Ransomware und erhöht die Attraktivität der Operation innerhalb des Ökosystems der Cyberkriminellen.

Am häufigsten gesehen

Wird geladen...