Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa The Gentlemen, działająca w modelu ransomware-as-a-service, rozwija własny zestaw narzędzi do neutralizacji zabezpieczeń na stacjach roboczych i serwerach. Kluczowym elementem tego arsenału jest GentleKiller, czyli framework zaprojektowany do wyłączania procesów związanych z rozwiązaniami EDR, antywirusem i innymi komponentami ochronnymi jeszcze przed uruchomieniem właściwego szyfratora.
To podejście wpisuje się w rosnący trend nadużywania techniki BYOVD, czyli wykorzystywania podatnych sterowników do uzyskania uprzywilejowanego dostępu do jądra systemu. Dzięki temu napastnicy mogą omijać mechanizmy samoobrony produktów bezpieczeństwa i ograniczać skuteczność telemetrii endpointowej.
W skrócie
- The Gentlemen zbudowało scentralizowany pakiet narzędzi do wyłączania ochrony endpointów dla afiliantów.
- GentleKiller ma występować w wielu wariantach i identyfikować setki procesów powiązanych z dziesiątkami produktów bezpieczeństwa.
- Framework wykorzystuje techniki BYOVD, bazując na podatnych lub nadużywanych sterownikach działających w trybie jądra.
- Grupa szybko adaptuje publicznie ujawnione proof-of-concepty i gotowe komponenty do własnych operacji ransomware.
- Ekosystem narzędzi obejmuje także komponenty wspierające kradzież danych uwierzytelniających i model podwójnego wymuszenia.
Kontekst / historia
Model RaaS od lat opiera się na podziale zadań pomiędzy operatorów platformy a afiliantów odpowiedzialnych za uzyskanie dostępu do środowiska ofiary. W wielu kampaniach to partnerzy samodzielnie wyłączali narzędzia ochronne, korzystając z własnych skryptów, publicznych exploitów lub sterowników używanych do obejścia EDR.
The Gentlemen obrało jednak bardziej scentralizowany kierunek. Zamiast pozostawiać ten etap afiliantom, operator udostępnia gotowy pakiet narzędzi do osłabiania zabezpieczeń systemowych. Taka strategia upraszcza wdrażanie nowych partnerów, zwiększa powtarzalność ataków i przyspiesza aktualizowanie wspólnego arsenału po pojawieniu się nowych technik obejścia ochrony.
Z operacyjnego punktu widzenia centralizacja oznacza również większą skalowalność. Mniej zaawansowani afilianci mogą korzystać z dojrzałych narzędzi bez konieczności rozwijania własnych modułów kernelowych, co obniża próg wejścia do bardziej skutecznych operacji ransomware.
Analiza techniczna
GentleKiller nie jest pojedynczym plikiem, lecz rodziną wariantów zbudowanych według wspólnego schematu. Poszczególne próbki podszywają się pod legalne oprogramowanie bezpieczeństwa, wykorzystując nazwy plików, metadane wersji, ikony oraz inne elementy mające utrudnić szybką klasyfikację próbki jako narzędzia ofensywnego.
Najważniejszy mechanizm opiera się na BYOVD. W praktyce atakujący dostarcza do systemu podatny lub celowo nadużywany sterownik, a następnie używa jego uprawnień do wykonywania operacji w przestrzeni jądra. To umożliwia zatrzymywanie chronionych procesów, modyfikowanie działania usług bezpieczeństwa oraz obchodzenie mechanizmów samoobrony wdrożonych przez rozwiązania EDR i AV.
Według analizy badaczy różne warianty frameworka wykorzystują odmienne sterowniki powiązane z legalnymi produktami lub narzędziami niskopoziomowymi. Po odseparowaniu warstwy kamuflażu i doboru konkretnego drivera widać jednak wspólny szablon rozwojowy, co sugeruje zcentralizowany proces budowy kolejnych wersji.
Istotne jest także pragmatyczne podejście operatorów. Oprócz własnych komponentów grupa ma sięgać po zewnętrzne lub wyciekłe narzędzia służące do zabijania procesów ochronnych. Taki model pozwala szybko poszerzać arsenał o elementy, które zapewniają skuteczne działanie na poziomie kernela i zwiększają odporność kampanii na zmiany po stronie dostawców zabezpieczeń.
Dodatkowym elementem ekosystemu ma być malware do kradzieży danych uwierzytelniających napisany w Rust, określany jako OxideHarvest. Pokazuje to, że działalność grupy nie ogranicza się do szyfrowania danych, ale obejmuje również etap wykradania informacji, co wzmacnia presję wywieraną na ofiary w modelu podwójnego wymuszenia.
Konsekwencje / ryzyko
Najpoważniejsze ryzyko wynika z tego, że skuteczność współczesnych kampanii ransomware coraz częściej zależy od wcześniejszego wyłączenia ochrony endpointów. Jeśli napastnik potrafi zatrzymać procesy EDR na poziomie jądra systemu, klasyczne mechanizmy detekcji, izolacji hosta i blokowania łańcucha ataku mogą zadziałać zbyt późno albo zostać całkowicie ominięte.
W praktyce zwiększa to prawdopodobieństwo udanego wdrożenia szyfratora, kradzieży danych oraz dalszego ruchu lateralnego w środowisku. Szczególnie narażone są organizacje, które nie kontrolują ładowania sterowników, nie monitorują instalacji nowych driverów, nie blokują znanych podatnych komponentów i polegają wyłącznie na pojedynczej warstwie ochrony endpointowej.
- Wyłączenie EDR może ograniczyć widoczność incydentu już na wczesnym etapie ataku.
- Nadużycia BYOVD utrudniają analizę, ponieważ część działań odbywa się z uprawnieniami jądra.
- Scentralizowany pakiet dla afiliantów zwiększa skalę zagrożenia i powtarzalność skutecznych ataków.
- Połączenie ransomware z kradzieżą danych wzmacnia presję negocjacyjną wobec ofiar.
Rekomendacje
Organizacje powinny traktować nadużycia BYOVD jako realny i priorytetowy scenariusz zagrożenia. Obrona nie może opierać się wyłącznie na jednym produkcie EDR, lecz powinna obejmować kontrolę sterowników, monitoring zdarzeń kernel-mode oraz przygotowanie procedur na wypadek utraty telemetrii endpointowej.
- Egzekwować polityki kontroli sterowników i ograniczać możliwość ładowania nieautoryzowanych komponentów kernel-mode.
- Blokować znane podatne sterowniki oraz utrzymywać aktualne listy revocation i mechanizmy reputacyjne.
- Monitorować tworzenie i uruchamianie nowych usług sterowników, rzadko spotykane pliki SYS oraz nietypowe operacje na procesach bezpieczeństwa.
- Wdrożyć podejście defense in depth, obejmujące segmentację sieci, ograniczanie uprawnień administracyjnych, MFA i ochronę kopii zapasowych.
- Przygotować playbooki SOC i IR na scenariusze, w których agent EDR zostaje unieszkodliwiony.
- Utrzymywać aktualność firmware, sterowników i komponentów rozruchowych oraz kontrolować integralność łańcucha zaufania platformy.
Podsumowanie
Rozwój GentleKillera pokazuje, że nowoczesny ransomware coraz częściej buduje przewagę nie tylko przez szyfrowanie danych, ale przede wszystkim przez systematyczne wyłączanie narzędzi ochronnych przed właściwą fazą ataku. The Gentlemen łączy centralizację narzędzi, szybkie wdrażanie publicznie ujawnionych technik BYOVD i silny nacisk na kamuflaż operacyjny.
Dla obrońców oznacza to konieczność wzmacniania kontroli nad sterownikami, rozwijania widoczności na poziomie jądra systemu oraz budowania wielowarstwowej odporności na incydenty, w których klasyczny EDR przestaje być wiarygodnym źródłem detekcji i reakcji.