Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
The Gentlemen, un gruppo RaaS molto attivo nel panorama globale, utilizza il framework GentleKiller per disabilitare le soluzioni EDR. Questo strumento imita prodotti legittimi e sfrutta driver vulnerabili per eludere la rilevazione. Il team di The Gentlemen è noto per la sua agilità tecnica e capacità di integrare nel proprio sistema i PoC sulla disabilitazione degli EDR.
L’operazione ransomware-as-a-service (RaaS) The Gentlemen sta attivamente sviluppando e mantenendo una suite di strumenti per disattivare le soluzioni di endpoint detection and response (EDR), fornendoli agli affiliati per compromettere le difese dei sistemi prima di attivare il payload del ransomware.
Questo portfolio maturo di strumenti EDR-terminating ruota attorno a un framework noto come “GentleKiller”.
Il team di The Gentlemen utilizza anche strumenti di terze parti o trapelati come HexKiller, ThrottleBlood e HavocKiller. Questi strumenti utilizzano uno strato di evasione della difesa condiviso.
Jakub Souček, ricercatore di ESET, ha spiegato che The Gentlemen è in grado di rendere operative le PoC degli exploit relativi alla tecnica BYOVD (Bring Your Own Vulnerable Driver), spesso entro pochi giorni dalla loro pubblicazione.
Brian Krebs e PRODAFT hanno rivelato che il cittadino russo di 36 anni, di nome Alexander Andreevich Yapaev (conosciuto anche come hastalamuerte), sta guidando l’operazione dopo aver agito come affiliato per altri schemi ransomware, tra cui il famigerato Qilin.
Da quando il cartello è emerso, si è rapidamente affermato come uno dei gruppi ransomware più attivi. Secondo i dati di Ransomware.live, il gruppo ha colpito 504 vittime fino ad oggi, la maggior parte delle quali situate in Sud-est asiatico, Sud America e Europa occidentale.
ESET descrive The Gentlemen come uno dei gruppi RaaS più tecnicamente agili, i quali utilizza una serie di tecniche per assicurarsi che gli strumenti EDR killer eludano la rilevazione e siano costantemente aggiornati.
GentleKiller è lo strumento più diffuso, disponibile in otto varianti diverse, ciascuna delle quali imita un prodotto legittimo diverso e sfrutta un driver vulnerabile come parte dell’attacco BYOVD. GentleKiller cerca specificamente 400 processi associati a 48 programmi di sicurezza distinti provenienti da diversi fornitori.
La lista dei driver sfruttati da ciascuna delle varianti include Kaspersky (“eb.sys”), FACEIT Anti-Cheat (“nseckrnl.sys”), Valorant (“GameDriverX64.sys”), Javelin (“stpm_old.sys” o “stpm_new.sys”), WatchDog (“dmx.sys”), Network Blocker (“360netmon_wfp.sys”), Cleaner (“IMFForceDelete.sys”) e G11 (“PoisonX.sys”).
Recentemente, l’uso di “PoisonX.sys” è stato registrato in vari attacchi BYOVD, uno dei quali è stato utilizzato per disattivare CrowdStrike Falcon EDR. Un’altra campagna, dettagliata da Huntress, ha coinvolto un’intrusione in cui attori della minaccia hanno sfruttato BeyondTrust Remote Support per distribuire ransomware nella rete, dopo aver terminato gli strumenti di sicurezza tramite “PoisonX.sys” e “hrwfpdrv.sys”.
Souček ha notato che, oltre alla stratificazione dell’impostazione e ai driver specifici utilizzati, il codice rivela numerose somiglianze strutturali e comportamentali che suggeriscono l’uso di un template di sviluppo condiviso.
Questo design priorizza la facilità di distribuzione e la flessibilità operativa per gli affiliati, minimizzando lo sforzo di sviluppo per gli operatori.
Oltre a GentleKiller, The Gentlemen utilizza anche strumenti EDR killer basati su BYOVD. ESET ha anche rilevato un’infostealer basato su Rust codificato come OxideHarvest (o buildx641), capace di raccogliere dati da browser web popolari come Google Chrome, Microsoft Edge e Mozilla Firefox.
Mentre la maggior parte dei gruppi ransomware delega la disattivazione degli EDR agli affiliati, The Gentlemen ha scelto di centralizzare questa funzione offrendo una suite EDR-killer pronta all’uso e standardizzata.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]