The Gentlemen RaaS Menggunakan Kerangka EDR GentleKiller yang Menargetkan 400 Proses Keamanan

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Operasi Gentlemen ransomware-as-a-service (RaaS) secara aktif mengembangkan dan memelihara serangkaian pembunuh deteksi dan respons titik akhir (EDR) yang dibagikan kepada…

Operasi Gentlemen ransomware-as-a-service (RaaS) secara aktif mengembangkan dan memelihara serangkaian pembunuh deteksi dan respons titik akhir (EDR) yang dibagikan kepada afiliasi karena mengganggu pertahanan sistem sebelum menerapkan enkripsi.

“Mereka juga menyertakan alat pihak ketiga atau yang bocor seperti HexKiller, ThrottleBlood, dan HavocKiller,” kata peneliti keamanan ESET Jakub Souček dalam laporan yang dibagikan kepada The Hacker News. “Alat-alat ini distandarisasi melalui lapisan penghindaran pertahanan bersama, meniru sebagian besar vendor keamanan menggunakan informasi versi palsu, dan menyalin sertifikat dan ikon yang sah.”

ESET menggambarkan The Gentlemen sebagai salah satu grup RaaS yang paling tangkas secara teknis, menggunakan serangkaian teknik untuk memastikan bahwa sampel pembunuh EDR yang dikompilasi menghindari deteksi. Hal ini mencakup perlindungan biner menggunakan Enigma atau Themida dan menggunakan nama file yang menyerupai vendor keamanan siber terkenal, hingga informasi versi, tanda tangan digital, dan ikonnya.

Yang paling umum adalah GentleKiller, yang hadir dalam delapan varian berbeda, masing-masing meniru produk sah yang berbeda dan menyalahgunakan driver lain yang rentan atau berbahaya sebagai bagian dari serangan BYOVD. GentleKiller secara khusus mencari 400 proses yang terkait dengan 48 program keamanan berbeda dari sejumlah vendor.

“Desain ini memprioritaskan kemudahan penerapan dan fleksibilitas operasional bagi afiliasi, sekaligus meminimalkan upaya pengembangan bagi operator. Hal ini memungkinkan operator The Gentlemen untuk mengintegrasikan pengemudi yang disalahgunakan ke dalam perangkat mereka segera setelah PoC pembunuh EDR diungkapkan.”

“Sementara sebagian besar geng ransomware terus mendelegasikan pembunuhan EDR kepada afiliasinya, Gentlemen memilih untuk memusatkan fungsi ini dengan menawarkan kepada afiliasi rangkaian pembunuh EDR standar yang siap pakai,” kata ESET. “Keputusan ini membuat Gentlemen menjadi operator yang menarik bagi afiliasi karena secara signifikan menurunkan hambatan masuk bagi mereka, sehingga membuat pekerjaan mereka lebih mudah.”

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com