Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
GentleKiller to wyspecjalizowany framework typu EDR killer powiązany z operacją ransomware-as-a-service The Gentlemen. Jego głównym zadaniem jest osłabienie lub całkowite wyłączenie mechanizmów ochronnych na stacjach roboczych i serwerach jeszcze przed uruchomieniem właściwego szyfratora. Taki model działania pokazuje, że współczesne kampanie ransomware coraz częściej koncentrują się nie tylko na szyfrowaniu danych, ale przede wszystkim na wcześniejszym pozbawieniu obrońców widoczności i możliwości reakcji.
W skrócie
The Gentlemen to aktywna operacja RaaS, która od drugiej połowy 2025 roku szybko rozwija skalę działalności oraz sieć afiliantów. Jednym z najważniejszych elementów jej zaplecza technicznego jest GentleKiller, narzędzie służące do neutralizacji produktów EDR, XDR i AV.
- Framework wykorzystuje technikę BYOVD, czyli nadużycie podatnych sterowników do uzyskania uprawnień jądra.
- Atakujący mogą zatrzymywać procesy ochronne i ograniczać telemetrię bezpieczeństwa przed uruchomieniem szyfratora.
- Operacja łączy wyłączanie ochrony z wieloplatformowym ransomware napisanym w Go oraz mechanizmami ruchu bocznego.
- Model ten zwiększa skuteczność operacyjną afiliantów i skraca czas od uzyskania dostępu do pełnego zaszyfrowania środowiska.
Kontekst / historia
The Gentlemen pojawiło się publicznie w połowie 2025 roku jako platforma ransomware-as-a-service oferująca partnerom infrastrukturę operacyjną, panel zarządzania oraz warianty szyfratora dla różnych środowisk. Z czasem grupa zaczęła być kojarzona nie tylko z klasycznym modelem podwójnego wymuszenia, ale także z rosnącą dojrzałością techniczną i budową własnych komponentów wspierających obejście zabezpieczeń.
W 2026 roku analizy incydentów i doniesienia badaczy ujawniły, że operatorzy nie ograniczają się do dostarczania samego ransomware. Rozwijają również portfolio narzędzi do wyłączania ochrony endpointów, oferując je afiliantom jako gotowy element łańcucha ataku. To ważna zmiana, ponieważ wiele grup RaaS nadal polega na narzędziach publicznie dostępnych lub pozostawia etap neutralizacji zabezpieczeń po stronie partnerów.
Analiza techniczna
Najistotniejszą cechą GentleKiller jest zastosowanie techniki BYOVD. W tym modelu atakujący wykorzystuje legalny, ale podatny sterownik, aby uzyskać uprzywilejowany dostęp do jądra systemu. Po osiągnięciu takiego poziomu uprawnień możliwe staje się omijanie części ograniczeń narzuconych przez mechanizmy bezpieczeństwa działające w przestrzeni użytkownika oraz wykonywanie operacji niedostępnych dla zwykłych procesów.
W praktyce framework służy do identyfikacji i kończenia procesów powiązanych z rozwiązaniami EDR, XDR, AV i agentami telemetrycznymi. Tego rodzaju narzędzie może występować w różnych wariantach, podszywać się pod legalne komponenty lub korzystać z odmiennych sterowników, zależnie od scenariusza wdrożenia. Taka elastyczność utrudnia obrońcom tworzenie pojedynczych reguł blokujących i zmniejsza skuteczność prostych mechanizmów sygnaturowych.
Po wyłączeniu lub osłabieniu ochrony The Gentlemen wykorzystuje szyfrator rozwijany w języku Go, wspierający wiele platform, w tym Windows, Linux, NAS, BSD oraz odrębny wariant dla środowisk ESXi. Badacze opisywali także mechanizmy agresywnego ruchu bocznego i samorozprzestrzeniania, co zwiększa szansę szybkiego objęcia zasięgiem wielu hostów w jednej domenie.
Analizy incydentów wskazywały również na użycie narzędzi administracyjnych, zadań harmonogramu, PowerShell, modyfikacji ustawień Defendera, czyszczenia logów oraz prób wdrażania szyfratora z katalogów użytkownika po uzyskaniu zdalnego dostępu. W tle pojawiają się także przejęte poświadczenia, zdalne usługi administracyjne, podatności w urządzeniach brzegowych oraz malware pośredniczące, takie jak SystemBC, wspierające komunikację i maskowanie działań operatorów.
Konsekwencje / ryzyko
Rozwój własnego frameworku EDR killer znacząco podnosi poziom ryzyka dla organizacji. Jeżeli oprogramowanie ochronne zostanie zdegradowane już na wczesnym etapie, zespół bezpieczeństwa może utracić widoczność telemetryczną dokładnie wtedy, gdy jest ona najbardziej potrzebna. Oznacza to krótszy czas reakcji, mniejsze szanse na izolację hostów i większe prawdopodobieństwo skutecznego uruchomienia szyfratora.
Szczególnie groźne jest połączenie trzech elementów: centralnie rozwijanego narzędzia do wyłączania ochrony, wieloplatformowego ransomware oraz zdolności do rozprzestrzeniania się w środowisku. W efekcie pojedynczy incydent może szybko objąć stacje robocze, serwery plików, hosty wirtualizacyjne oraz zasoby sieciowe. Dla ofiary oznacza to wyższe ryzyko przestoju operacyjnego, utraty dostępu do danych, kosztownej odbudowy środowiska oraz wycieku informacji w modelu podwójnego wymuszenia.
Ryzyko rośnie również z perspektywy detekcji behawioralnej. Narzędzia typu EDR killer często działają krótko, intensywnie i w sposób bardzo ukierunkowany. Jeśli organizacja nie monitoruje ładowania sterowników, nietypowych operacji na usługach systemowych, masowego kończenia procesów czy zmian polityk ochronnych, pierwszym widocznym objawem incydentu może być dopiero etap szyfrowania danych.
Rekomendacje
Organizacje powinny traktować ochronę przed BYOVD jako osobny i priorytetowy obszar obrony. Kluczowe jest wdrożenie polityk blokowania nieautoryzowanych sterowników, egzekwowanie list zaufanych sterowników oraz monitorowanie prób ładowania komponentów znanych z wcześniejszych nadużyć. W środowiskach Windows istotne znaczenie ma również stosowanie mechanizmów hardeningu jądra oraz ochrony przed manipulacją ustawieniami bezpieczeństwa.
Równolegle należy wzmocnić monitorowanie sygnałów poprzedzających uruchomienie ransomware. Szczególną uwagę warto zwrócić na:
- wyłączanie lub modyfikację konfiguracji Defendera i narzędzi EDR,
- masowe zatrzymywanie procesów ochronnych,
- uruchamianie PowerShell z parametrami obniżającymi poziom ochrony,
- czyszczenie logów systemowych i bezpieczeństwa,
- nietypowe użycie RDP, PsExec, GPO, zadań harmonogramu i narzędzi administracyjnych,
- próby uruchamiania nieznanych binariów z katalogów użytkowników,
- nieautoryzowane zmiany w środowiskach ESXi i systemach backupowych.
Istotna pozostaje także redukcja powierzchni ataku. Należy ograniczyć ekspozycję usług zdalnych, wymusić MFA dla dostępu administracyjnego, segmentować sieć, rozdzielić konta uprzywilejowane, regularnie rotować hasła kont serwisowych i usuwać zbędne uprawnienia lokalnych administratorów. W przypadku urządzeń brzegowych i systemów VPN priorytetem powinno być szybkie łatanie podatności oraz przegląd logów pod kątem prób uwierzytelniania i anomalii.
Z perspektywy odporności operacyjnej krytyczne są kopie zapasowe odseparowane logicznie lub fizycznie od domeny produkcyjnej, regularne testy odtwarzania oraz gotowe procedury izolacji hostów. W razie wykrycia aktywności zgodnej z TTP The Gentlemen priorytetem powinno być natychmiastowe odcięcie zdalnego dostępu, blokada kont uprzywilejowanych, analiza sterowników załadowanych w systemie oraz zabezpieczenie telemetrii z urządzeń, które nie zostały jeszcze wyłączone.
Podsumowanie
GentleKiller dobrze pokazuje ewolucję współczesnych operacji ransomware w kierunku większej specjalizacji i industrializacji. The Gentlemen nie opiera się wyłącznie na szyfratorze, lecz rozwija pełny zestaw komponentów wspierających obejście zabezpieczeń i skalowanie ataku w środowisku ofiary. Dla zespołów bezpieczeństwa oznacza to konieczność przesunięcia działań obronnych na wcześniejsze etapy łańcucha ataku, zanim napastnik skutecznie oślepi systemy ochronne i przystąpi do szyfrowania.
Źródła
- Microsoft Security Blog – The Gentlemen ransomware: Dissecting a self-propagating Go encryptor
https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/ - Help Net Security – GentleKiller targets more than 400 security processes across 48 products
https://www.helpnetsecurity.com/2026/06/18/eset-gentlemen-edr-killers/ - Huntress – The Gentlemen Ransomware | Defense Evasion TTPs Uncovered
https://www.huntress.com/blog/the-gentlemen-ransomware-defense-evasion-ttps - BleepingComputer – The Gentlemen ransomware now uses SystemBC for bot-powered attacks
https://www.bleepingcomputer.com/news/security/the-gentlemen-ransomware-now-uses-systembc-for-bot-powered-attacks/ - Infosecurity Magazine – The Gentlemen Ransomware Expands With Rapid Affiliate Growth
https://www.infosecurity-magazine.com/news/gentlemen-ransomware-rapid/