De Gentlemen ransomware-as-a-service (RaaS)-operatie is actief bezig met het ontwikkelen en onderhouden van een reeks endpoint detectie en respons (EDR) killers die het uitdeelt aan aangesloten bedrijven om de systeemverdediging te schaden voordat de encryptor wordt ingezet.
Dit volwassen portfolio van EDR-terminating tools is gecentreerd rond een raamwerk dat bekend staat als Zachte moordenaar.
“Ze bevatten ook tools van derden of gelekte tools zoals HexKiller, ThrottleBlood en HavocKiller”, zegt ESET-beveiligingsonderzoeker Jakub Souček in een rapport gedeeld met The Hacker News. “Deze tools zijn gestandaardiseerd via een gedeelde verdedigings-ontduikingslaag, waarbij ze zich voornamelijk voordoen als beveiligingsleveranciers met behulp van valse versie-informatie en gekopieerde legitieme certificaten en pictogrammen.”
Het Slowaakse cyberbeveiligingsbedrijf riep de ransomware-ploeg ook op vanwege hun vermogen om nieuw onthulde proof-of-concept (PoC)-exploits gerelateerd aan een aanvalstechniek genaamd de Bring Your Own Kwetsbare Driver (BYOVD)-techniek ‘ongewoon snel te operationaliseren’, in veel gevallen binnen enkele dagen na hun publieke vrijgave.
Sinds de opkomst in maart 2025 is The Gentlemen snel gestegen en heeft het naam gemaakt als een van de meest actieve ransomwaregroepen. Volgens gegevens van Ransomware.live heeft de groep tot nu toe 504 slachtoffers geëist, waarvan de meeste zich in Zuidoost-Azië, Zuid-Amerika en West-Europa bevinden.
Recente rapporten van cybersecurityjournalist Brian Krebs en PRODAFT hebben onthuld dat een 36-jarige Russische staatsburger genaamd Alexander Andreevich Yapaev (ook bekend als hastalamuerte) de operatie leidt, nadat hij als partner had opgetreden voor andere ransomware-programma’s, waaronder Qilin.
ESET heeft The Gentlemen beschreven als een van de technisch meest flexibele RaaS-groepen, die een reeks technieken gebruiken om ervoor te zorgen dat de gecompileerde EDR-killer monsters omzeilt van detectie. Dit omvat binaire bescherming met behulp van Enigma of Themida en het gebruik van bestandsnamen die lijken op bekende cyberbeveiligingsleveranciers, tot aan hun versie-informatie, digitale handtekeningen en pictogrammen.
De meest voorkomende daarvan is GentleKiller, die in acht verschillende varianten verkrijgbaar is, die elk een ander legitiem product nabootsen en een andere kwetsbare of kwaadaardige driver misbruiken als onderdeel van de BYOVD-aanval. GentleKiller zoekt specifiek naar 400 processen die verband houden met 48 verschillende beveiligingsprogramma’s van een aantal leveranciers.
De lijst met stuurprogramma’s die door elk van de varianten worden uitgebuit, is als volgt:
- Kaspersky (“eb.sys”)
- FACEIT Anti-Cheat (“nseckrnl.sys”)
- Valorant (“GameDriverX64.sys”)
- Javelin (“stpm_old.sys” of “stpm_new.sys”)
- WatchDog (“dmx.sys”)
- Netwerkblokkering (“360netmon_wfp.sys”)
- Opschoner (“IMFForceDelete.sys”)
- G11 (“PoisonX.sys”)
Het is vermeldenswaard dat het misbruik van “PoisonX.sys” de afgelopen maanden is geregistreerd in verband met verschillende BYOVD-aanvallen, waarvan er één werd gebruikt om CrowdStrike Falcon EDR te doden. Een tweede campagne, beschreven door Huntress, betrof een inbraak waarbij onbekende bedreigingsactoren gebruik maakten van BeyondTrust Remote Support om met succes ransomware op het netwerk te implementeren, maar niet voordat de beveiligingstools via “PoisonX.sys” en “hrwfpdrv.sys” waren beëindigd.
“Wanneer we de imitatielaag en de specifieke gebruikte drivers wegnemen, onthult de onderliggende code talloze structurele en gedragsmatige overeenkomsten die sterk wijzen op het gebruik van een gedeeld ontwikkelingssjabloon”, aldus Souček.
“Dit ontwerp geeft prioriteit aan implementatiegemak en operationele flexibiliteit voor aangesloten bedrijven, terwijl de ontwikkelingsinspanningen voor de operators worden geminimaliseerd. Het stelt The Gentlemen-operators in staat om misbruikte stuurprogramma’s in hun toolset te integreren, zeer snel nadat een EDR-killer PoC is onthuld.”
De externe, op BYOVD gebaseerde EDR-moordenaars die door de groep worden gebruikt, staan hieronder:
- HexKiller (“googleApiUtil64.sys”), een tool waarvan eerder werd aangenomen dat deze exclusief was voor de Warlock-ransomwarebende
- ThrottleBlood (“ThrottleBlood.sys”), een tool die wordt waargenomen bij aanvallen door MedusaLocker- en DragonForce-filialen
- HavocKiller of HwAudKiller (“havoc.sys”)
ESET zei dat het ook een op Rust gebaseerde inloggegevensdief heeft gedetecteerd met de codenaam OxideHarvest (ook bekend als buildx641) die gegevens kan verzamelen van populaire webbrowsers, waaronder Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk en IceCat.
“Terwijl de meeste ransomwarebendes het doden van EDR’s blijven delegeren aan aangesloten bedrijven, heeft Gentlemen ervoor gekozen om deze functie te centraliseren door aangesloten bedrijven een kant-en-klare, gestandaardiseerde EDR-killersuite aan te bieden”, aldus ESET. “Deze beslissing maakt Gentlemen een aantrekkelijke exploitant voor affiliates, omdat het de toetredingsdrempel voor hen aanzienlijk verlaagt, waardoor hun werk daardoor gemakkelijker wordt.”
De onthulling komt op het moment dat het CERT Coördinatiecentrum (CERT/CC) een advies uitbracht over meerdere door de leverancier ondertekende UEFI-applicaties die kwetsbaar zijn voor Secure Boot bypass via een BYOVD-aanval. ESET-onderzoeker Martin Smolár wordt gecrediteerd voor het onderzoeken en rapporteren van de kwetsbaarheid. De getroffen applicaties zijn afkomstig van Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba en Uniwill.
“Als een doelsysteem het certificaat van de getroffen leverancier vertrouwt, kan een aanvaller (met beheerdersrechten of fysieke toegang) deze applicaties misbruiken om willekeurige code uit te voeren tijdens de vroege pre-boot fase voordat het besturingssysteem wordt geïnitialiseerd”, aldus CERT/CC.
“Om dit risico te beperken, moeten systeembeheerders updates toepassen op de UEFI Forbidden Signature Database (DBX) die het vertrouwen in de getroffen, door de leverancier ondertekende binaire bestanden intrekken, waardoor wordt voorkomen dat deze kwetsbare applicaties worden uitgevoerd tijdens het opstartproces.”
