The Gentlemen RaaS ускорили BYOVD-атаки: GentleKiller целится в 400 процессов защиты

Рансомварная экосистема The Gentlemen продолжает профессионализироваться: по данным ESET, описанным The Hacker News, операторы RaaS развивают набор EDR-killer-инструментов, который передают аффилиатам перед запуском шифровальщика. Центральный элемент набора — framework GentleKiller, предназначенный для отключения защитных процессов на заражённой машине.

Исследователи отмечают, что инструментарий группы включает собственные разработки и сторонние или утёкшие компоненты, включая HexKiller, ThrottleBlood и HavocKiller. Их объединяет общий слой обхода защиты: файлы маскируются под продукты известных security-вендоров, используют поддельные сведения о версиях, скопированные значки и легитимные сертификаты. Такой подход снижает заметность на этапе подготовки к шифрованию.

Особое внимание ESET уделяет скорости, с которой The Gentlemen внедряет технику BYOVD — bring your own vulnerable driver. Смысл атаки в том, что злоумышленник приносит на систему легитимный, но уязвимый драйвер и использует его привилегии для завершения процессов защиты. По данным отчёта, группа способна operationalize новые публичные PoC иногда в течение нескольких дней после раскрытия.

GentleKiller существует в восьми вариантах, каждый имитирует отдельный легитимный продукт и злоупотребляет своим уязвимым или вредоносным драйвером. Инструмент ищет около 400 процессов, связанных с 48 защитными продуктами разных поставщиков. Это делает его не точечной утилитой под один EDR, а масштабируемым шаблоном для аффилиатов RaaS.

The Hacker News также приводит контекст: с появления в марте 2025 года The Gentlemen быстро стали одной из самых активных ransomware-групп. По данным Ransomware.live, группа заявила о 504 жертвах, преимущественно в Юго-Восточной Азии, Южной Америке и Западной Европе. Ранее KrebsOnSecurity и PRODAFT связывали управление операцией с российским гражданином Александром Япаевым, известным как hastalamuerte.

Для защитников важен не только конкретный список драйверов, а сама динамика. Если группа быстро превращает публичные PoC в инструменты подавления EDR, организациям нужно ускорять блокировку уязвимых драйверов, включать driver blocklist, контролировать появление подозрительных signed-драйверов и отслеживать попытки массового завершения security-процессов. В противном случае ransomware-атака может начаться уже после того, как локальная телеметрия будет ослеплена.

Источник: The Hacker News, 20 июня 2026