Auf den Punkt: The Gentlemen hat mit GentleKiller ein EDR-Killer-Framework entwickelt, das weniger erfahrenen Affiliate-Partnern sofort einsatzfähige Tools zur Umgehung von Enterprise-Sicherheitssystemen bietet.
Die Ransomware-Gruppe The Gentlemen hat ihren Affiliate-Partnern Zugriff auf EDR-Killer-Tools gewährt, die etablierte Endpoint-Detection-and-Response-Systeme deaktivieren können. ESET-Forscher haben dies nach einer Serverbresche im Mai analysiert.
Die Ransomware-Gruppe The Gentlemen hat eine hauseigene EDR-Killer-Infrastruktur namens GentleKiller entwickelt und ihren Affiliate-Partnern bereitgestellt. Nach Erkenntnissen des Sicherheitsunternehmens ESET, das bei der Analyse einer Serverbresche aus dem Mai Daten zu The Gentlemen auswertete, umfasst das Framework Routinen zur Umgehung von Produkten aus 48 verschiedenen Herstellern. The Gentlemen integriert zudem externe Tools wie HexKiller, ThrottleBlood und HavocKiller. Die Gruppe operiert als Ransomware-as-a-Service-Plattform mit einem ungewöhnlich großzügigen Provisionsmodell von 90:10 für ihre Affiliate-Partner.
Das GentleKiller-Framework senkt die technische Einstiegshürde für weniger erfahrene Affiliate-Partner erheblich. Statt EDR-Killer selbst entwickeln oder beschaffen zu müssen, erhalten sie sofort einsatzfähige Werkzeuge. Der zentrale Mechanismus sind sogenannte Bring-Your-Own-Vulnerable-Driver-Exploits (BYOVD): Nach einer Account-Kompromittierung laden Angreifer legitime, aber veraltete und anfällige Hersteller-Treiber, um von Admin- auf Kernel-Level-Privilegien zu eskalieren. Dies ermöglicht ihnen, direkt auf EDR-Treiber zuzugreifen. Das Framework enthält Umgehungsroutinen für 400 EDR-Prozesse aus 48 verschiedenen Anbietern.
ESET-Forscher Jakub Souček betont, dass diese Bereitstellung von EDR-Killer-Kapazitäten die Angriffsfähigkeiten des gesamten Affiliate-Netzwerks vervielfacht und die Anzahl konsistenter Ransomware-Deployments steigert. Die Verletzlichkeit von EDR-Tools gegenüber BYOVD-Techniken ist bekannt: Eine Studie von Trellix aus 2024 sowie ein Fall bei Huntress im laufenden Jahr dokumentierten vergleichbare Angriffsmuster.
Zum Schutz empfiehlt Souček, Hypervisor-Protected Code Integrity (HVCI) und Kernel-mode Code Integrity (KMCI) zu aktivieren, um das Laden veralteter oder unsicherer Treiber zu erschweren. Zusätzlich sollten Unternehmen strikte Allow- und Block-Richtlinien für Treiber durchsetzen, diese kontinuierlich auditieren und unnötige Treiber entfernen. Souček warnt, dass die größte Defensiv-Herausforderung darin besteht, dass EDR-Killer auf legitimen, nicht-bösartigen Treibern basieren, die oft noch in Produktion eingesetzt werden.
Quelle: www.csoonline.com · Erschienen 19. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.