Gentlemen ransomware користи повеќе EDR-убијци за да ги оневозможи одбранбените механизми

Ransomware-as-a-Service (RaaS) групата Gentlemen активно развива и одржува пакет алатки за онеспособување на системите за Endpoint Detection and Response (EDR), со цел да им помогне на своите соработници да избегнат детекција при нападите.

Групата користи колекција од алатки за елиминирање на EDR заштитите, а најпозната меѓу нив е алатката што истражувачите ја нарекоа GentleKiller. Таа има најмалку осум варијанти и се претставува како различни легитимни безбедносни производи, вклучувајќи ги Kaspersky, Valorant, Javelin и WatchDog.

Најчесто користената алатка во овој пакет е токму GentleKiller, која постои во најмалку осум варијанти и имитира различни легитимни производи.

EDR-убиец (EDR killer) обично се користи за оневозможување на безбедносните механизми во раните фази на нападот. Кај ransomware инцидентите, овие алатки обезбедуваат процесите на кражба на податоци или нивно енкриптирање да се одвиваат без пречки.

Овие алатки функционираат со користење на техниката „Bring Your Own Vulnerable Driver“ (BYOVD), преку која се стекнуваат со повисоки привилегии и ги оневозможуваат безбедносните механизми.

Според истражувачите од ESET, секоја варијанта на GentleKiller користи различни ранливи драјвери за да добие привилегии на ниво на кернел (kernel-level privileges). Сепак, сите варијанти споделуваат заеднички текстуални низи, идентични техники за замаглување на кодот (code obfuscation) и слична логика за прекинување на процеси и таргетирање.

Анализата на различните варијанти покажува дека рамката е дизајнирана така што овозможува лесна замена на драјверите или брзо искористување на новооткриени ранливости без потреба од значителни измени во кодот.

Според ESET, GentleKiller таргетира повеќе од 400 процеси поврзани со приближно 48 безбедносни производители и производи, меѓу кои се Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix и Kaspersky.

Извршните датотеки (бинарните фајлови) на алатката за оневозможување на EDR системи се заштитени со комерцијалните алатки за пакување и заштита на кодот Enigma и Themida. Според ESET, заканувачката група користи и украдени дигитални потписи од легитимен софтвер, иако тие потписи се невалидни.

Иако GentleKiller е стандардизирана алатка што се користи во нападите на Gentlemen ransomware, ESET известува дека арсеналот на групата вклучува и најмалку три надворешни алатки за оневозможување на EDR заштити:

• HexKiller, претходно користен од групата Warlock
• ThrottleBlood, поврзан со нападите на MesudaLocker и DragonForce
• HavocKiller, кој исто така е забележан во ransomware операции

Можно е Gentlemen RaaS да ги додал овие алатки заради поголема сигурност (редундантност), отежнување на атрибуцијата на нападите или за употреба во специфични случаи каде што ефикасноста на GentleKiller може да биде ограничена.

Дополнително, ESET ја документирал употребата на OxideHarvest – алатка за кражба на акредитиви (кориснички имиња и лозинки) развиена во програмскиот јазик Rust. Истражувачите сметаат дека, судејќи според изборот на програмскиот јазик, алатката најверојатно е развиена од надворешен автор.

Анализата на истражувачите покажува дека Gentlemen ransomware ги избира своите цели врз основа на конфигурацијата на нивните FortiGate уреди. Ова е особено интересно со оглед на неодамнешното откритие на „FortiBleed“ – колекција од речиси 74.000 акредитиви за FortiGate VPN системи.

Во минатото, Gentlemen RaaS го компромитирал романскиот снабдувач со енергија Oltenia и бил поврзан со ботнетот на прокси-малверот SystemBC, кој опфаќал повеќе од 1.570 хостови, за кои се верува дека припаѓале на корпоративни жртви.

Извори:

• Bleeping Computer – Gentlemen ransomware uses multiple EDR killers to disable defenses Bleeping Computer