La operación Gentlemen Ransomware-as-a-Service (RaaS) desarrolla y mantiene activamente un conjunto de asesinos de detección y respuesta de puntos finales (EDR) y los distribuye a afiliados que comprometen las defensas del sistema antes de implementar programas de cifrado.
Esta cartera madura de herramientas de terminación de EDR se centra en un marco conocido como GentleKiller.
«También incorpora herramientas de terceros y de violación como HexKiller, ThrottleBlood y HavocKiller», dijo el investigador de seguridad de ESET, Jakub Souček, en un informe compartido con The Hacker News. «Estas herramientas están estandarizadas a través de una capa de evasión de defensa compartida, principalmente haciéndose pasar por proveedores de seguridad utilizando información de versión falsa y copiando certificados e íconos legítimos».
La firma eslovaca de ciberseguridad también acusó a los actores de ransomware de tener la capacidad de hacer que los exploits de prueba de concepto (PoC) recientemente lanzados «operen con una velocidad inusual», a menudo a los pocos días de su publicación, en relación con una técnica de ataque conocida como la técnica BYOVD (Traiga su propio controlador vulnerable).
Desde su aparición en marzo de 2025, The Gentlemen ha ascendido rápidamente de rango y se ha establecido como uno de los grupos de ransomware más activos. Según datos de Ransomware.live, el grupo se ha cobrado 504 víctimas hasta el momento, la mayoría de ellas ubicadas en el sudeste asiático, América del Sur y Europa occidental.
Un informe reciente del periodista de ciberseguridad Brian Krebs y PRODAFT reveló que un ruso de 36 años llamado Alexander Andreevich Yapayev (también conocido como Hastalam Muerte) está liderando esta operación después de actuar como asociado en otros esquemas de ransomware, incluido Qilin.
ESET describe a The Gentlemen como uno de los grupos RaaS técnicamente más ágiles, ya que utiliza un conjunto de técnicas que garantizan la evasión de la detección mediante muestras asesinas compiladas de EDR. Esto incluye protección binaria usando Enigma o Themida y el uso de nombres de archivos similares a los de proveedores de ciberseguridad conocidos, hasta información de versión, firmas digitales e íconos.
El más frecuente es GentleKiller, que tiene ocho variantes diferentes, cada una de las cuales imita un producto legítimo diferente y explota un controlador vulnerable o malicioso diferente como parte de un ataque BYOVD. GentleKiller busca específicamente 400 procesos asociados con 48 programas de seguridad diferentes de numerosos proveedores.
La lista de controladores explotados por cada variante es la siguiente:
Kaspersky («eb.sys») FACEIT Anti-Cheat («nseckrnl.sys») Valorant («GameDriverX64.sys») Javelin («stpm_old.sys» o «stpm_new.sys») WatchDog («dmx.sys») Bloqueador de red («360netmon_wfp.sys») Limpiador («IMFForceDelete.sys») G11 (“PoisonX.sys”)
Vale la pena señalar que en los últimos meses se han registrado exploits de ‘PoisonX.sys’ en relación con varios ataques BYOVD, uno de los cuales se utilizó para matar a CrowdStrike Falcon EDR. La segunda campaña detallada por Huntress involucró una intrusión en la que un atacante desconocido aprovechó el soporte remoto de BeyondTrust para implementar ransomware en la red, pero luego no pudo cancelar las herramientas de seguridad a través de «PoisonX.sys» y «hrwfpdrv.sys».
«Una vez que abstraemos la capa de suplantación y los controladores específicos utilizados, el código subyacente revela una serie de puntos en común estructurales y de comportamiento que sugieren fuertemente el uso de plantillas de desarrollo compartidas», dijo Souček.
«Este diseño prioriza la facilidad de implementación y la flexibilidad operativa para los afiliados y minimiza el esfuerzo de desarrollo para los operadores. Esto permite a los operadores de The Gentlemen integrar controladores explotados en sus conjuntos de herramientas inmediatamente después de que se publique el PoC asesino de EDR».
Los asesinos de EDR externos basados en BYOVD empleados por este grupo son: –
HexKiller (‘googleApiUtil64.sys’), anteriormente se pensaba que era una herramienta exclusiva del grupo de ransomware Warlock. Herramientas observadas en ataques de ThrottleBlood (“ThrottleBlood.sys”), MedusaLocker y las filiales de DragonForce, HavocKiller o HwAudKiller (“havoc.sys”)
ESET también anunció que ha detectado un ladrón de credenciales basado en Rust con nombre en código OxideHarvest (también conocido como buildx641) que puede recopilar datos de navegadores web populares, incluidos Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk y IceCat.
«Si bien la mayoría de las bandas de ransomware continúan delegando la eliminación de EDR a sus afiliados, Gentleman ha optado por centralizar esta funcionalidad proporcionando a los afiliados una suite de eliminación de EDR estandarizada y lista para usar», dijo ESET. «Esta decisión convierte a Gentleman en un operador atractivo para los afiliados, ya que reduce significativamente la barrera de entrada para los afiliados, lo que como resultado facilita su trabajo».
Esta divulgación se produce después de que el Centro de Coordinación CERT (CERT/CC) emitiera un aviso indicando que varias aplicaciones UEFI firmadas por proveedores son vulnerables a la omisión de arranque seguro a través de ataques BYOVD. Al investigador de ESET, Martin Smolár, se le atribuye la investigación y el informe de esta vulnerabilidad. Las aplicaciones afectadas incluyen aquellas de Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba y Uniwill.
«Si el sistema objetivo confía en el certificado del proveedor afectado, un atacante (con privilegios administrativos o acceso físico) podría explotar estas aplicaciones para ejecutar código arbitrario durante la etapa inicial previa al arranque, antes de que se inicialice el sistema operativo», dijo CERT/CC.
«Para mitigar este riesgo, los administradores del sistema deben aplicar una actualización a la base de datos de firmas prohibidas (DBX) UEFI que deshabilite la confianza en los archivos binarios firmados por los proveedores afectados para evitar que estas aplicaciones vulnerables se ejecuten durante el proceso de arranque».
Source link
