Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Marco de malware GentleKiller

Marco de malware GentleKiller

Por Mezo en Amenaza persistente avanzada (APT), Ransomware
Traducir a:

La operación de ransomware como servicio (RaaS) de Gentlemen está desarrollando y manteniendo activamente un conjunto integral de herramientas de detección y respuesta de endpoints (EDR) que los afiliados pueden utilizar para desactivar las protecciones de seguridad antes de implementar cifradores de ransomware.

En el centro de este arsenal se encuentra un marco de trabajo conocido como GentleKiller, respaldado por varias herramientas de terceros y filtradas, como HexKiller, ThrottleBlood y HavocKiller. Estas utilidades están unificadas mediante un marco común de evasión de defensas que las disfraza como productos de seguridad legítimos utilizando información de versión falsa, certificados digitales copiados e iconos de aplicaciones clonados.

Explotación rápida de vulnerabilidades recientemente descubiertas

Una de las capacidades más destacadas del grupo es su habilidad para poner en funcionamiento rápidamente las pruebas de concepto (PoC) recién publicadas, asociadas a la técnica Bring Your Own Vulnerable Driver (BYOVD). En muchos casos, las vulnerabilidades recién descubiertas se integran al conjunto de herramientas del grupo a los pocos días de hacerse públicas.

Este enfoque de desarrollo optimizado proporciona a los afiliados herramientas altamente efectivas, al tiempo que reduce los requisitos de desarrollo para los propios operadores. El modelo también permite al grupo actualizar continuamente su arsenal incorporando controladores recientemente utilizados de forma indebida casi inmediatamente después de su divulgación pública.

Un rápido auge del ecosistema del ransomware

Desde su aparición en marzo de 2025, The Gentlemen se ha convertido rápidamente en uno de los grupos de ransomware más activos a nivel mundial. La operación se ha atribuido la responsabilidad de 504 víctimas, la mayoría de ellas ubicadas en el sudeste asiático, Sudamérica y Europa occidental.

Investigaciones recientes han identificado a Alexander Andreevich Yapaev, un ciudadano ruso de 36 años conocido en internet como 'hastalamuerte', como el líder de la operación. Antes de lanzar The Gentlemen, según se informa, trabajó como afiliado para varios otros programas de ransomware, incluido Qilin.

Evasión avanzada de EDR mediante suplantación de identidad y protección binaria.

The Gentlemen es considerada una de las operaciones RaaS más ágiles técnicamente en la actualidad. Sus desarrolladores emplean diversas técnicas para garantizar que los programas EDR que eliminan vulnerabilidades no sean detectados, incluyendo mecanismos de protección binaria y el uso de nombres de archivo diseñados para imitar los de proveedores de ciberseguridad reconocidos. El engaño se extiende a la falsificación de información de versión, firmas digitales e iconos de aplicaciones.

GentleKiller, la herramienta más utilizada del arsenal, existe en ocho variantes distintas. Cada versión imita un producto de seguridad legítimo diferente y explota un controlador vulnerable o malicioso distinto como parte de una cadena de ataque BYOD. El sistema es capaz de identificar y atacar aproximadamente 400 procesos asociados con 48 soluciones de seguridad diferentes de numerosos proveedores.

El creciente abuso de conductores vulnerables

En los últimos meses se ha observado un aumento en el uso indebido del controlador PoisonX.sys en múltiples campañas de ataques BYOD (Bring Your Own Device). En un incidente, el controlador se utilizó para desactivar la plataforma EDR CrowdStrike Falcon. En otra campaña, los atacantes explotaron BeyondTrust Remote Support para desplegar ransomware en la red de la víctima tras deshabilitar previamente los productos de seguridad mediante PoisonX.sys y hrwfpdrv.sys.

Incluso eliminando las diferencias de marca y selección de controladores, el código subyacente de estos programas que eliminan los EDR demuestra importantes similitudes estructurales y de comportamiento, lo que indica claramente el uso de una plantilla de desarrollo compartida.

Eliminadores EDR de terceros integrados en el arsenal

El conjunto de herramientas de Gentlemen incorpora varios eliminadores EDR externos basados en BYOVD:

  • HexKiller (googleApiUtil64.sys), que anteriormente se creía exclusivo del grupo de ransomware Warlock.
  • ThrottleBlood (ThrottleBlood.sys), observado en ataques vinculados a afiliados de MedusaLocker y DragonForce, y HavocKiller o HwAudKiller (havoc.sys).
  • OxideHarvest amplía la amenaza más allá del ransomware.

Los investigadores también han identificado un malware de robo de credenciales basado en Rust llamado OxideHarvest, también conocido como buildx641. Este programa malicioso es capaz de extraer información confidencial de numerosos navegadores populares, entre ellos:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk e IceCat.

Un modelo centralizado que atrae afiliados

Si bien muchos grupos de ransomware delegan las operaciones de elusión de EDR a sus afiliados, The Gentlemen ha optado por centralizar esta capacidad, proporcionándoles un conjunto de herramientas estandarizadas y listas para usar para eliminar EDR. Esta estrategia reduce significativamente la barrera técnica de entrada para los afiliados, simplifica el despliegue del ransomware y aumenta el atractivo general de la operación dentro del ecosistema cibercriminal.

Mas Visto

Cargando...