Для просмотра ссылки Войди или Зарегистрируйся
Компания Gentlemen, предоставляющая услуги по распространению программ-вымогателей (RaaS), активно разрабатывает и поддерживает набор средств обнаружения и реагирования на угрозы на конечных устройствах (EDR), которые она распространяет среди своих филиалов для нарушения защиты системы перед развертыванием шифратора.
Этот зрелый набор Для просмотра ссылки Войдиили Зарегистрируйся основан на фреймворке, известном как GentleKiller .
«Они также используют сторонние или утекшие в сеть инструменты, такие как HexKiller, ThrottleBlood и HavocKiller», — Для просмотра ссылки Войдиили Зарегистрируйся исследователь безопасности ESET Якуб Соучек в отчете, предоставленном The Hacker News. «Эти инструменты стандартизированы с помощью общего уровня защиты и обхода защиты, имитируя в основном поставщиков решений в области безопасности, используя поддельную информацию о версиях, а также скопированные легитимные сертификаты и значки».
Словацкая компания, занимающаяся кибербезопасностью, также раскритиковала группу разработчиков программы-вымогателя за их способность «необычайно быстро внедрять в эксплуатацию» недавно раскрытые экспериментальные эксплойты, связанные с методом атаки, называемым «использование собственного уязвимого драйвера» ( Для просмотра ссылки Войдиили Зарегистрируйся ), во многих случаях в течение нескольких дней после их публичного выпуска.
С момента своего появления в марте 2025 года Для просмотра ссылки Войдиили Зарегистрируйся быстро поднялась в рейтинге и зарекомендовала себя как одна из самых активных групп, занимающихся вымогательством. По данным Ransomware.live, Для просмотра ссылки Войди или Зарегистрируйся , большинство из которых находятся в Юго-Восточной Азии, Южной Америке и Западной Европе.
Недавние сообщения журналиста по кибербезопасности Брайана Кребса и PRODAFT показали, что 36-летний гражданин России Александр Андреевич Япаев (известный как hastalamuerte) возглавляет эту операцию, ранее выступая в качестве соучастника других схем вымогательства, включая Qilin.
Компания ESET охарактеризовала группу The Gentlemen как одну из наиболее технически подкованных групп, предоставляющих RaaS-решения, использующую набор методов для обеспечения того, чтобы скомпилированные образцы EDR-защиты обходили системы обнаружения. Это включает в себя защиту бинарных файлов с помощью Enigma или Themida, а также использование имен файлов, похожих на имена известных поставщиков решений в области кибербезопасности, вплоть до информации о версии, цифровых подписей и значков.
Наиболее распространенным из них является GentleKiller, который выпускается в восьми различных вариантах, каждый из которых имитирует различный легитимный продукт и использует различные уязвимые или вредоносные драйверы в рамках атаки BYOVD. GentleKiller целенаправленно ищет 400 процессов, связанных с 48 различными программами безопасности от ряда поставщиков.
Список драйверов, используемых каждым из вариантов, выглядит следующим образом:
Стоит отметить, что в последние месяцы были зафиксированы случаи злоупотребления "PoisonX.sys" в связи с различными атаками BYOVD, одна из которых использовалась Для просмотра ссылки Войдиили Зарегистрируйся . Вторая кампания, Для просмотра ссылки Войди или Зарегистрируйся Huntress, включала в себя вторжение, в ходе которого неизвестные злоумышленники использовали BeyondTrust Remote Support для успешного развертывания программы-вымогателя в сети, но перед этим завершили работу средств защиты с помощью "PoisonX.sys" и "hrwfpdrv.sys".
«Если отбросить слой имитации и используемые конкретные драйверы, то в базовом коде обнаруживаются многочисленные структурные и поведенческие сходства, которые убедительно указывают на необходимость использования общего шаблона разработки», — сказал Соучек.
«В этой конструкции приоритет отдается простоте развертывания и операционной гибкости для филиалов, при этом минимизируются затраты на разработку для операторов. Это позволяет операторам The Gentlemen интегрировать уязвимые драйверы в свой набор инструментов очень скоро после того, как будет раскрыта возможность внедрения уязвимости EDR».
Ниже перечислены сторонние разработчики EDR-устройств, использующие систему BYOVD (Bring Your Own Device), которые применяют данная группа:
Компания ESET сообщила об обнаружении программы для кражи учетных данных на основе Rust под кодовым названием OxideHarvest (также известной как buildx641), способной собирать данные из популярных веб-браузеров, включая Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk и IceCat.
«В то время как большинство группировок, занимающихся вымогательством, продолжают делегировать уничтожение EDR-устройств своим филиалам, Gentlemen решила централизовать эту функцию, предложив филиалам готовый к использованию стандартизированный набор инструментов для уничтожения EDR-устройств», — заявила компания ESET. «Это решение делает Gentlemen привлекательным оператором для филиалов, поскольку существенно снижает для них порог входа, что, соответственно, упрощает их работу».
Эта информация появилась после того, как Координационный центр CERT (CERT/CC) выпустил предупреждение о том, что ряд приложений UEFI с цифровой подписью от производителей уязвимы для обхода Secure Boot посредством атаки BYOVD. Исследованием и сообщением об уязвимости занимался исследователь ESET Мартин Смолар. Затронутые приложения принадлежат компаниям Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba и Uniwill.
«Если целевая система доверяет сертификату соответствующего поставщика, злоумышленник [обладающий административными привилегиями или физическим доступом] может использовать эти приложения для выполнения произвольного кода на ранней стадии подготовки к загрузке, до инициализации операционной системы», — заявили в CERT/CC.
«Для снижения этого риска системным администраторам следует применять обновления к базе данных запрещенных подписей UEFI (DBX), которые отзывают доверие к затронутым подписанным поставщиком двоичным файлам, предотвращая выполнение этих уязвимых приложений в процессе загрузки».
Для просмотра ссылки Войдиили Зарегистрируйся
Компания Gentlemen, предоставляющая услуги по распространению программ-вымогателей (RaaS), активно разрабатывает и поддерживает набор средств обнаружения и реагирования на угрозы на конечных устройствах (EDR), которые она распространяет среди своих филиалов для нарушения защиты системы перед развертыванием шифратора.
Этот зрелый набор Для просмотра ссылки Войди
«Они также используют сторонние или утекшие в сеть инструменты, такие как HexKiller, ThrottleBlood и HavocKiller», — Для просмотра ссылки Войди
Словацкая компания, занимающаяся кибербезопасностью, также раскритиковала группу разработчиков программы-вымогателя за их способность «необычайно быстро внедрять в эксплуатацию» недавно раскрытые экспериментальные эксплойты, связанные с методом атаки, называемым «использование собственного уязвимого драйвера» ( Для просмотра ссылки Войди
С момента своего появления в марте 2025 года Для просмотра ссылки Войди
Недавние сообщения журналиста по кибербезопасности Брайана Кребса и PRODAFT показали, что 36-летний гражданин России Александр Андреевич Япаев (известный как hastalamuerte) возглавляет эту операцию, ранее выступая в качестве соучастника других схем вымогательства, включая Qilin.
Компания ESET охарактеризовала группу The Gentlemen как одну из наиболее технически подкованных групп, предоставляющих RaaS-решения, использующую набор методов для обеспечения того, чтобы скомпилированные образцы EDR-защиты обходили системы обнаружения. Это включает в себя защиту бинарных файлов с помощью Enigma или Themida, а также использование имен файлов, похожих на имена известных поставщиков решений в области кибербезопасности, вплоть до информации о версии, цифровых подписей и значков.
Наиболее распространенным из них является GentleKiller, который выпускается в восьми различных вариантах, каждый из которых имитирует различный легитимный продукт и использует различные уязвимые или вредоносные драйверы в рамках атаки BYOVD. GentleKiller целенаправленно ищет 400 процессов, связанных с 48 различными программами безопасности от ряда поставщиков.
Список драйверов, используемых каждым из вариантов, выглядит следующим образом:
- Касперский ("eb.sys")
- Античит FACEIT ("nseckrnl.sys")
- Valorant ("GameDriverX64.sys")
- Javelin ("stpm_old.sys" или "stpm_new.sys")
- WatchDog ("dmx.sys")
- Блокировщик сети ("360netmon_wfp.sys")
- Очиститель ("IMFForceDelete.sys")
- G11 ("PoisonX.sys")
Стоит отметить, что в последние месяцы были зафиксированы случаи злоупотребления "PoisonX.sys" в связи с различными атаками BYOVD, одна из которых использовалась Для просмотра ссылки Войди
«Если отбросить слой имитации и используемые конкретные драйверы, то в базовом коде обнаруживаются многочисленные структурные и поведенческие сходства, которые убедительно указывают на необходимость использования общего шаблона разработки», — сказал Соучек.
«В этой конструкции приоритет отдается простоте развертывания и операционной гибкости для филиалов, при этом минимизируются затраты на разработку для операторов. Это позволяет операторам The Gentlemen интегрировать уязвимые драйверы в свой набор инструментов очень скоро после того, как будет раскрыта возможность внедрения уязвимости EDR».
Ниже перечислены сторонние разработчики EDR-устройств, использующие систему BYOVD (Bring Your Own Device), которые применяют данная группа:
- HexKiller ("googleApiUtil64.sys") — инструмент, ранее считавшийся эксклюзивным для группы вымогателей Warlock.
- ThrottleBlood ("ThrottleBlood.sys") — инструмент, обнаруженный в ходе атак, организованных филиалами MedusaLocker и DragonForce.
- HavocKiller или Для просмотра ссылки Войди
или Зарегистрируйся ("havoc.sys")
Компания ESET сообщила об обнаружении программы для кражи учетных данных на основе Rust под кодовым названием OxideHarvest (также известной как buildx641), способной собирать данные из популярных веб-браузеров, включая Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk и IceCat.
«В то время как большинство группировок, занимающихся вымогательством, продолжают делегировать уничтожение EDR-устройств своим филиалам, Gentlemen решила централизовать эту функцию, предложив филиалам готовый к использованию стандартизированный набор инструментов для уничтожения EDR-устройств», — заявила компания ESET. «Это решение делает Gentlemen привлекательным оператором для филиалов, поскольку существенно снижает для них порог входа, что, соответственно, упрощает их работу».
Эта информация появилась после того, как Координационный центр CERT (CERT/CC) выпустил предупреждение о том, что ряд приложений UEFI с цифровой подписью от производителей уязвимы для обхода Secure Boot посредством атаки BYOVD. Исследованием и сообщением об уязвимости занимался исследователь ESET Мартин Смолар. Затронутые приложения принадлежат компаниям Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba и Uniwill.
«Если целевая система доверяет сертификату соответствующего поставщика, злоумышленник [обладающий административными привилегиями или физическим доступом] может использовать эти приложения для выполнения произвольного кода на ранней стадии подготовки к загрузке, до инициализации операционной системы», — заявили в CERT/CC.
«Для снижения этого риска системным администраторам следует применять обновления к базе данных запрещенных подписей UEFI (DBX), которые отзывают доверие к затронутым подписанным поставщиком двоичным файлам, предотвращая выполнение этих уязвимых приложений в процессе загрузки».
Для просмотра ссылки Войди