GentleKiller - sofisticirani okvir za onesposobljavање zaštite koji napada preko 400 EDR procesa
Grupa Gentlemen koristi GentleKiller okvir za onesposobljavanje preko 400 EDR sigurnosnih procesa korišćenjem ranjenih kernelskih drajvera.
Šta se desilo?
Grupa ransomvera pod nazivom Gentlemen koristi napredni okvir nazvаn GentleKiller kako bi sistematski onesposoblila sigurnosne alate pre nego što primeni svoju ransomware pretnju. Istraživanja kompanije ESET objavljena u junu 2026. otkrivaju da Gentlemen - jedna od najaktivnijih ransomvera grupa u prvom kvartalu 2026. - svojim afilijeima pruža centralizovanu kolekciju alata za uništavanje EDR (Endpoint Detection and Response) bezbednosnih rešenja.
Koga pogađa?
GentleKiller direktno ugrožava sve organizacije koje koriste uobičajene EDR sisteme. Među pogođenim proizvodima su rešenja vodećih proizvođača kao što su Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Palo Alto Networks, ESET, Bitdefender, Kaspersky i McAfee/Trellix. Grupa Gentlemen se posebno fokusira na žrtve u Jugoistočnoj Aziji, Južnoj Americi i Zapadnoj Evropi, često identifikujući mete kroz loše konfigurisane FortiGate sisteme.
Kako se zaštititi?
- Primeni allowlisting za kernelske drajvere kako bi se sprečilo učitavanje neovlašćenih upravljačkih programa
- Aktiviraj Microsoft Vulnerable Driver Blocklist kako bi blokirao poznate ranjive drajvere
- Prati nenormalne događaje učitavanja kernelskog softvera posebno kad se pojavljuju zajedno sa terminacijom sigurnosnih procesa
- Koristi napredne sisteme za detekciju anomalija fokusirane na obrasce prekida sigurnosnog softvera
- Redovno pregledi GentlemenCollection direktorijume koji služe kao privremena skladišta za malver
- Održavaj EDR sisteme azurirane na najnovije verzije
Tehnički detalji
GentleKiller predstavlja okvir sa osam različitih varijanti, od kojih svaka koristi jedinstveni ranjiv ili zlonamerni kernelski drajver. Napadači koriste BYOVD (Bring Your Own Vulnerable Driver) tehniku - učitavaju legitimno potpisane ali iskorišćive drajvere kako bi terminirali sigurnosne procese na kernelskom nivou. Ramotovani drajveri dolaze od Kasperskija (eb.sys), FACEIT Anti-Cheat (nseckrnl.sys), Valoranta (GameDriverX64.sys), Javelin/Safetica (stpm_old.sys i stpm_new.sys), Zemana WatchDog (dmx.sys), Qihoo 360 (360netmon_wfp.sys), IObit (IMFForceDelete) i PoisonX rootkita. Okvir skenira i prekida ciljane procese svakih dve sekunde. Gentlemen dodatno koristi tri eksternog EDR killera - HexKiller, ThrottleBlood i HavocKiller - koje je preuzela od drugih ransomvera grupa. Svi alati su zaštićeni sa Enigma ili Themida binарnim zaštitnicima koji prikrivaju prave karakteristike. Grupa Gentlemen koristi i OxideHarvest - krađe kredencijala napisanu na Rustu - koja izvlači podatke iz Chromium i Gecko pregledača. Tehnikom brze adaptacije, grupa je integrovala UnknownKiller i PoisonKiller u svoju kolekciju dana nakon javne objave - brzina adaptacije koja je retka među drugim ransomvera operatorima.
Preporuka Sajber Radara
Organizacije moraju hitno primeniti kontrole vulnerabilnih drajvera i nadzirati nenormalne obrasce terminacije sigurnosnih procesa. Pošto Gentlemen nudi afilijeima opštu 90% deljivosti prihoda, rizik od bržeg širenja grupe je velik - redovno ažuriranje EDR sistema i primena preporuka ESET-a za detekciju kritični su koraci za sprečavanje kompromitovanja.