Gentlemen-ransomwaregruppen fortsetter å styrke angrepskapasiteten sin ved å utstyre affiliates med spesialiserte verktøy som er utviklet for å deaktivere sikkerhetsprodukter. Forskere har identifisert flere såkalte EDR-killers som hjelper angripere med å omgå forsvarssystemer før de starter ransomwareangrep.

Ransomware-as-a-service-gruppen har vokst raskt siden den dukket opp i 2025. Sikkerhetsforskere rangerer nå operasjonen som en av de mest aktive ransomwaregruppene i 2026. Operatørene utvikler og vedlikeholder egne verktøy for å slå ut sikkerhetsløsninger i stedet for å overlate oppgaven til affiliates.

Forskerne mener denne strategien gir angriperne større mulighet til å unngå oppdagelse i de tidlige fasene av et innbrudd. Når sikkerhetsprogramvaren er nøytralisert, kan angriperne bevege seg friere gjennom nettverket og forberede systemene på kryptering og datatyveri.

GentleKiller retter seg mot sikkerhetsprodukter

Det mest fremtredende verktøyet i gruppens arsenal er et program forskerne har gitt navnet GentleKiller. Analytikere har identifisert minst åtte varianter av verktøyet, og hver versjon er utviklet for å deaktivere endpoint-sikkerhetsløsninger samtidig som den utgir seg for å være legitim programvare.

Forskerne har funnet versjoner som etterligner kjente produkter og tjenester for å redusere mistanke. Operatørene oppdaterer kontinuerlig verktøyet og distribuerer nye versjoner til affiliates etter hvert som sikkerhetsleverandører forbedrer sine deteksjonsmekanismer.

Ifølge forskere hos ESET kan enkelte varianter av GentleKiller rette seg mot hundrevis av sikkerhetsrelaterte prosesser på tvers av dusinvis av endpoint-beskyttelsesprodukter. Denne rekkevidden gjør verktøyet spesielt farlig i bedriftsmiljøer.

Angriperne misbruker sårbare drivere

Ransomwaregruppen benytter i stor grad teknikken bring-your-own-vulnerable-driver (BYOVD). Denne metoden gjør det mulig for angripere å laste inn legitime, men sårbare drivere og deretter utnytte dem til å oppnå forhøyede rettigheter på kompromitterte systemer.

Når angriperne har fått disse privilegiene, kan skadevaren avslutte sikkerhetsprosesser, deaktivere overvåkningstjenester og forstyrre forsvarsmekanismer. De utfører ofte disse handlingene før de distribuerer ransomware eller stjeler data.

Sikkerhetsforskere har observert at stadig flere ransomwaregrupper tar i bruk lignende teknikker. The Gentlemen skiller seg imidlertid ut fordi operatørene selv utvikler, vedlikeholder og distribuerer verktøy som er spesiallaget for å slå ut EDR-løsninger.

Intern lekkasje avslørte gruppens virksomhet

En lekkasje av interne data fra The Gentlemen tidligere i år ga forskere et sjeldent innblikk i gruppens infrastruktur og affiliateprogram. Den lekkede informasjonen bekreftet at gruppen utvikler EDR-killers internt og gir dem direkte til sine affiliates.

Forskerne fant også bevis på at operatørene hjelper samarbeidspartnerne med å identifisere mål og analysere potensielle offermiljøer. Gruppen skal ha et særlig fokus på organisasjoner som bruker bestemte edge-enheter og bedriftsinfrastruktur.

Trusselrapporter tyder på at ransomwareoperasjonen allerede har rammet hundrevis av ofre på tvers av flere bransjer og land. Den raske veksten har tiltrukket seg betydelig oppmerksomhet fra sikkerhetsforskere og hendelsesrespons-team.

Organisasjoner trenger lagdelt beskyttelse

Tradisjonell endpoint-sikkerhet er fortsatt viktig, men organisasjoner bør ikke stole på ett enkelt forsvarslag. Sikkerhetsteam bør aktivere beskyttelse mot manipulering, overvåke driveraktivitet og begrense kjøring av uautorisert programvare der det er mulig.

Forsvarere bør også være oppmerksomme på uvanlige forsøk på privilegieeskalering, mistenkelige driverinstallasjoner og aktiviteter som forsøker å deaktivere sikkerhetsverktøy. Tidlig oppdagelse kan hindre ransomwareoperatører i å få full kontroll over et nettverk.

Konklusjon

The Gentlemen har investert betydelige ressurser i verktøy som deaktiverer endpoint-sikkerhet før angrepene starter. Gruppens egenutviklede GentleKiller-rammeverk og andre EDR-killers hjelper affiliates med å unngå oppdagelse, bevege seg gjennom nettverk og gjennomføre ransomwareangrep mer effektivt. Etter hvert som ransomwaregrupper fortsetter å videreutvikle disse metodene, må organisasjoner styrke overvåkningen, herde endpoint-beskyttelsen og forberede seg på angrep som retter seg direkte mot sikkerhetsverktøyene.


0 responses to “Gentlemen-ransomware bruker EDR-killers for å unngå oppdagelse”