Auf den Punkt: Gentlemen-Bande nutzt mindestens acht Varianten von GentleKiller, um EDR-Schutz von 48 verschiedenen Sicherheitsanbietern auszuschalten, bevor sie Ransomware-Angriffe durchführt.
Die Ransomware-Gruppe Gentlemen setzt spezialisierte Tools ein, um Endpoint-Detection-and-Response-Systeme zu deaktivieren und anschließend Daten zu verschlüsseln. Das Vorgehen beruht auf Kernel-Zugriffen via gefälschter Treiber und zielt auf über 400 Sicherheitsprozesse ab.
Die Ransomware-as-a-Service-Gruppe Gentlemen hat ein Arsenal spezialisierter EDR-Killer entwickelt, um Endpoint-Detection-and-Response-Systeme auf Zielrechnern zu neutralisieren. Zentral für diese Angriffe ist das Werkzeug GentleKiller, von dem ESET-Analysten mindestens acht Varianten dokumentiert haben. Diese Varianten tarnen sich durch Nachahmung legitimer Anwendungen wie Kaspersky, Valorant, Javelin oder WatchDog, um Erkennung durch Sicherheitstools zu vermeiden.
GentleKiller nutzt die sogenannte Bring-Your-Own-Vulnerable-Driver-Technik, um bekannte Sicherheitslücken in legitimen Treibern auszunutzen und Kernel-Rechte zu erlangen. Das Tool zielt dabei auf über 400 Prozesse von rund 48 verschiedenen Sicherheitsanbietern ab – darunter Microsoft, CrowdStrike, SentinelOne, Palo Alto und Sophos. Diese breite Angriffsfläche ermöglicht es der Gruppe, den EDR-Schutz flächendeckend zu deaktivieren, bevor die eigentliche Datenverschlüsselung stattfindet.
Die Entwickler verschleiern die ausführbaren Dateien von GentleKiller mittels kommerzieller Packing-Tools wie Enigma und Themida und verwenden gestohlene, zwar ungültige, aber legitim wirkende digitale Signaturen. Zur Redundanz und Erschwerung der Zuordnung greift Gentlemen zusätzlich auf externe EDR-Killer zurück: darunter HexKiller (zuvor von der Warlock-Bande genutzt), ThrottleBlood (mit DragonForce verbunden) und HavocKiller. Für das Diebstahl von Zugangsdaten setzt die Gruppe OxideHarvest ein, ein in Rust entwickeltes Stealer-Tool, das vermutlich von externen Entwicklern erworben wurde.
Die Angriffsziele wählt Gentlemen laut Forschungsergebnissen basierend auf der Konfiguration von FortiGate-Endpunkten aus. Dabei besteht ein direkter Zusammenhang zur kürzlich veröffentlichten FortiBleed-Datenliste, die knapp 74.000 VPN-Zugangsdaten für FortiGate-Systeme enthält. Dokumentierte Opfer der Gruppe umfassen etwa den rumänischen Energieversorger Oltenia. Darüber hinaus kontrolliert Gentlemen ein SystemBC-Proxy-Botnetz mit über 1570 kompromittierten Systemen, die primär Unternehmensnetzwerke sind.
Quelle: www.it-daily.net · Erschienen 19. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.