Thought Leadership
Die Erpressergruppe Gentlemen nutzt ein Arsenal an EDR-Killern wie GentleKiller, um Antiviren-Programme gezielt auszuschalten und Daten zu verschlüsseln.
Das Ransomware-as-a-Service-Netzwerk Gentlemen entwickelt und nutzt spezialisierte Werkzeuge, um Endpoint-Detection-and-Response-Systeme (EDR) auf Zielrechnern zu deaktivieren. Im Zentrum dieser Angriffe steht ein von ESET-Analysten als GentleKiller bezeichnetes Programm, von dem mindestens acht Varianten existieren. Um Entdeckung zu vermeiden, tarnen sich diese Varianten als legitime Anwendungen wie Kaspersky, Valorant, Javelin oder WatchDog.
Die Schadsoftware nutzt die sogenannte Bring-Your-Own-Vulnerable-Driver-Technik. Dabei werden bekannte Sicherheitslücken in legitimen Treibern ausgenutzt, um Kernel-Rechte auf dem Betriebssystem zu erlangen. GentleKiller zielt auf mehr als 400 Prozesse von rund 48 verschiedenen Sicherheitsanbietern ab, darunter Microsoft, CrowdStrike, SentinelOne, Palo Alto und Sophos, um den Schutz vor der eigentlichen Datenverschlüsselung komplett zu unterdrücken.
Verschleierung und Kombination externer Werkzeuge für EDR-Umgehung
Die Entwickler schützen die ausführbaren Dateien von GentleKiller mithilfe der kommerziellen Packing-Tools Enigma und Themida vor einer automatisierten Analyse. Zusätzlich werden gestohlene, wenn auch ungültige digitale Signaturen echter Software verwendet. Neben dem eigenen Hauptwerkzeug greift die Gentlemen-Gruppe zur Redundanz und Erschwerung der Zuordnung auf externe EDR-Killer zurück.
Dazu gehören das zuvor von der Warlock-Bande genutzte HexKiller, das mit DragonForce in Verbindung gebrachte ThrottleBlood sowie das Werkzeug HavocKiller. Für das Entwenden von Zugangsdaten setzt die Gruppe zudem auf OxideHarvest, ein in der Programmiersprache Rust geschriebenes Stealer-Tool, das vermutlich von externen Entwicklern eingekauft wurde.
Gentlemen nutzen kompromittierter VPN-Zugänge aus
Die Auswahl der Angriffsziele erfolgt laut den Untersuchungen auf Basis der Konfiguration von FortiGate-Endpunkten. Die Forscher sehen hierbei einen direkten Zusammenhang mit dem Bekanntwerden von FortiBleed, einer jüngst veröffentlichten Sammlung von fast 74.000 VPN-Zugangsdaten für FortiGate-Systeme. Zu den bereits dokumentierten Opfern der Erpressergruppe gehört unter anderem der rumänische Energieversorger Oltenia. Darüber hinaus steht das Gentlemen-Netzwerk mit einem SystemBC-Proxy-Botnetz in Verbindung, das mehr als 1570 kompromittierte Systeme umfasst, bei denen es sich primär um Unternehmensnetzwerke handelt.
(red)
