Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Cadre de logiciels malveillants GentleKiller

Cadre de logiciels malveillants GentleKiller

Par Mezo en Menace persistante avancée (APT), Ransomware
Se traduisent par :

L'opération Gentlemen ransomware-as-a-service (RaaS) développe et maintient activement une suite complète d'outils de détection et de réponse aux points de terminaison (EDR) que les affiliés peuvent utiliser pour désactiver les protections de sécurité avant de déployer des chiffreurs de ransomware.

Au cœur de cet arsenal se trouve un framework appelé GentleKiller, soutenu par plusieurs outils tiers et divulgués, notamment HexKiller, ThrottleBlood et HavocKiller. Ces utilitaires sont unifiés par un framework commun d'évasion des défenses qui les camoufle en produits de sécurité légitimes grâce à de fausses informations de version, des certificats numériques copiés et des icônes d'application clonées.

Exploitation rapide des vulnérabilités nouvellement divulguées

L'une des capacités les plus remarquables du groupe est son aptitude à rendre rapidement opérationnelles les nouvelles preuves de concept (PoC) d'exploits liées à la technique BYOVD (Bring Your Own Vulnerable Driver). Dans de nombreux cas, les exploits nouvellement divulgués sont intégrés à la boîte à outils du groupe quelques jours seulement après leur publication.

Cette approche de développement simplifiée offre aux affiliés des outils très performants tout en réduisant les besoins de développement des opérateurs. Ce modèle permet également au groupe de renouveler constamment son arsenal en intégrant les nouveaux pilotes faisant l'objet d'abus presque immédiatement après leur divulgation publique.

Une croissance rapide de l’écosystème des ransomwares

Depuis son apparition en mars 2025, le groupe The Gentlemen est rapidement devenu l'un des plus actifs au monde dans le domaine des ransomwares. Il a revendiqué 504 victimes, principalement situées en Asie du Sud-Est, en Amérique du Sud et en Europe occidentale.

Des investigations récentes ont permis d'identifier Alexander Andreevich Yapaev, un Russe de 36 ans connu en ligne sous le pseudonyme de « hastalamuerte », comme le chef de l'opération. Avant de lancer The Gentlemen, il aurait travaillé comme affilié pour plusieurs autres programmes de rançongiciels, dont Qilin.

Évasion EDR avancée par usurpation d’identité et protection binaire

The Gentlemen est considéré comme l'un des opérateurs RaaS les plus agiles techniquement actuellement en activité. Ses développeurs emploient de multiples techniques pour garantir que leurs logiciels anti-EDR compilés échappent à la détection, notamment des mécanismes de protection binaire et l'utilisation de noms de fichiers conçus pour ressembler à ceux de fournisseurs de cybersécurité réputés. La tromperie s'étend aux informations de version falsifiées, aux signatures numériques et aux icônes d'application modifiées.

L'outil le plus répandu de cet arsenal, GentleKiller, se décline en huit variantes. Chaque version imite un produit de sécurité légitime différent et exploite une vulnérabilité ou un pilote malveillant spécifique dans le cadre d'une attaque BYOVD. Ce système est capable d'identifier et de cibler environ 400 processus associés à 48 solutions de sécurité différentes provenant de nombreux fournisseurs.

L’abus croissant des conducteurs vulnérables

Ces derniers mois, l'utilisation abusive du pilote PoisonX.sys s'est intensifiée dans de nombreuses campagnes BYOVD. Lors d'un incident, ce pilote a servi à neutraliser la plateforme EDR CrowdStrike Falcon. Dans une autre campagne, des attaquants ont exploité une faille de sécurité de BeyondTrust Remote Support pour déployer un ransomware au sein du réseau d'une victime, après avoir désactivé les produits de sécurité via PoisonX.sys et hrwfpdrv.sys.

Même en faisant abstraction des différences de marque et de sélection des pilotes, le code sous-jacent de ces solutions EDR révolutionnaires présente des similitudes structurelles et comportementales importantes, indiquant fortement l'utilisation d'un modèle de développement commun.

Tueurs EDR tiers intégrés à l’arsenal

La boîte à outils des gentlemen intègre plusieurs tueurs EDR externes basés sur BYOVD :

  • HexKiller (googleApiUtil64.sys), que l'on croyait auparavant exclusif au groupe de ransomware Warlock.
  • ThrottleBlood (ThrottleBlood.sys), observé dans des attaques liées à MedusaLocker et aux affiliés de DragonForce, et HavocKiller ou HwAudKiller (havoc.sys).
  • OxideHarvest étend la menace au-delà des ransomwares

Des chercheurs ont également identifié un logiciel malveillant de vol d'identifiants basé sur Rust, nommé OxideHarvest, également connu sous le nom de buildx641. Ce logiciel est capable de collecter des informations sensibles à partir de nombreux navigateurs populaires, notamment :

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk et IceCat.

Un modèle centralisé qui attire les affiliés

Alors que de nombreux groupes de ransomware délèguent les opérations de contournement des systèmes EDR à leurs affiliés, The Gentlemen a choisi de centraliser cette capacité en fournissant à ses affiliés une suite logicielle standardisée et prête à l'emploi pour neutraliser les systèmes EDR. Cette stratégie réduit considérablement les obstacles techniques à l'entrée sur le marché pour les affiliés, simplifie le déploiement des ransomwares et accroît l'attractivité globale de l'opération au sein de l'écosystème cybercriminel.

Le plus regardé

Chargement...