Gentlemen-ransomwaregruppen fortsætter med at styrke sine angrebskapaciteter ved at udstyre affiliates med specialiserede værktøjer, der er udviklet til at deaktivere sikkerhedsprodukter. Forskere har identificeret flere såkaldte EDR-killers, som hjælper angribere med at omgå forsvarssystemer, før de iværksætter ransomwareangreb.

Ransomware-as-a-service-gruppen er vokset hurtigt siden sin fremkomst i 2025. Sikkerhedsforskere vurderer nu, at operationen er blandt de mest aktive ransomwaregrupper i 2026. Operatørerne udvikler og vedligeholder deres egne værktøjer til at slå sikkerhedsløsninger ud i stedet for at overlade opgaven til affiliates.

Forskerne mener, at denne strategi giver angriberne en større chance for at undgå opdagelse i de tidlige faser af et indbrud. Når sikkerhedssoftwaren er neutraliseret, kan angriberne bevæge sig mere frit gennem netværket og forberede systemerne til kryptering og datatyveri.

GentleKiller retter sig mod sikkerhedsprodukter

Det mest fremtrædende værktøj i gruppens arsenal er et program, som forskere har døbt GentleKiller. Analytikere har identificeret mindst otte varianter af værktøjet, hvor hver version er udviklet til at deaktivere endpoint-sikkerhedsløsninger, mens den udgiver sig for at være legitim software.

Forskerne har fundet versioner, der efterligner velkendte produkter og tjenester for at mindske mistanke. Operatørerne opdaterer løbende værktøjet og distribuerer nye versioner til affiliates, efterhånden som sikkerhedsleverandører forbedrer deres detektionsmuligheder.

Ifølge forskere fra ESET kan visse varianter af GentleKiller målrette hundredvis af sikkerhedsrelaterede processer på tværs af dusinvis af endpoint-beskyttelsesprodukter. Denne rækkevidde gør værktøjet særligt farligt i virksomhedsmiljøer.

Angriberne misbruger sårbare drivere

Ransomwaregruppen benytter i høj grad teknikken bring-your-own-vulnerable-driver (BYOVD). Metoden gør det muligt for angribere at indlæse legitime, men sårbare drivere og derefter udnytte dem til at opnå forhøjede rettigheder på kompromitterede systemer.

Når angriberne har opnået disse privilegier, kan malwaren afslutte sikkerhedsprocesser, deaktivere overvågningstjenester og forstyrre forsvarsmekanismer. De udfører ofte disse handlinger, før de implementerer ransomware eller stjæler data.

Sikkerhedsforskere har observeret, at et stigende antal ransomwaregrupper anvender lignende teknikker. The Gentlemen skiller sig dog ud, fordi operatørerne selv udvikler, vedligeholder og distribuerer værktøjer, der specifikt er designet til at slå EDR-løsninger ud.

Intern lækage afslørede gruppens aktiviteter

En lækage af interne data fra The Gentlemen tidligere på året gav forskere et sjældent indblik i gruppens infrastruktur og affiliateprogram. De lækkede oplysninger bekræftede, at gruppen udvikler EDR-killers internt og stiller dem direkte til rådighed for sine affiliates.

Forskerne fandt også beviser på, at operatørerne hjælper samarbejdspartnere med at identificere mål og analysere potentielle offermiljøer. Gruppen siges at have et særligt fokus på organisationer, der anvender bestemte edge-enheder og virksomhedsnetværk.

Trusselsrapporter tyder på, at ransomwareoperationen allerede har ramt hundredvis af ofre på tværs af flere brancher og lande. Den hurtige vækst har tiltrukket betydelig opmærksomhed fra sikkerhedsforskere og incident response-teams.

Organisationer har brug for lagdelt beskyttelse

Traditionel endpoint-sikkerhed er fortsat vigtig, men organisationer bør ikke stole på ét enkelt forsvarslag. Sikkerhedsteams bør aktivere beskyttelse mod manipulation, overvåge driveraktivitet og begrænse kørsel af uautoriseret software, hvor det er muligt.

Forsvarere bør også holde øje med usædvanlige forsøg på privilegieeskalering, mistænkelige driverinstallationer og aktiviteter, der forsøger at deaktivere sikkerhedsværktøjer. Tidlig opdagelse kan forhindre ransomwareoperatører i at få fuld kontrol over et netværk.

Konklusion

The Gentlemen har investeret betydelige ressourcer i værktøjer, der deaktiverer endpoint-sikkerhed, før angrebene begynder. Gruppens egenudviklede GentleKiller-rammeværk og andre EDR-killers hjælper affiliates med at undgå opdagelse, bevæge sig gennem netværk og gennemføre ransomwareangreb mere effektivt. Efterhånden som ransomwaregrupper fortsætter med at forfine disse teknikker, må organisationer styrke overvågningen, hærde deres endpoint-beskyttelse og forberede sig på angreb, der direkte retter sig mod sikkerhedsværktøjerne.


0 svar til “Gentlemen-ransomware bruger EDR-killers til at undgå opdagelse”