La souche de rançongiciel Gentlemen, proposée sous forme de service (RaaS), développe et met à jour activement une série d’outils conçus pour neutraliser les systèmes de détection et de réponse sur les terminaux (EDR). Ces outils aident les affiliés du groupe à échapper à la détection lors de leurs attaques.
La bande criminelle utilise plusieurs utilitaires pour désactiver les EDR. L’outil le plus employé est un programme personnalisé que les chercheurs ont nommé GentleKiller. Cet outil possède au moins huit variantes qui se font passer pour des produits de sécurité légitimes, comme ceux de Kaspersky, Valorant, Javelin ou WatchDog.
Les outils de type « tueur d’EDR » servent habituellement à désactiver les défenses au début d’une attaque. Dans les incidents liés aux rançongiciels, ils garantissent que les processus de vol de données ou de chiffrement ne rencontrent aucun obstacle.
Leur fonctionnement repose sur la technique dite « bring your own vulnerable driver » (BYOVD). Ils exploitent des pilotes système vulnérables pour obtenir des privilèges élevés et désactiver les moteurs de sécurité.
Les chercheurs d’ESET expliquent que chaque variante de GentleKiller utilise des pilotes vulnérables différents pour atteindre des privilèges au niveau du noyau. Mais elles partagent toutes des chaînes de caractères communes, des techniques d’obscurcissement de code identiques, ainsi qu’une logique et une cible similaires pour arrêter les processus.
L’analyse des variantes montre que le cadre est conçu pour permettre des échanges faciles de pilotes. Il peut aussi intégrer de nouvelles failles récemment révélées sans nécessiter de modifications majeures du code.
Source : ESET
D’après ESET, GentleKiller cible plus de 400 processus qui sont liés à près de 48 éditeurs ou produits de sécurité. Parmi eux figurent Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix et Kaspersky.
Source : ESET
Les binaires de l’outil neutralisant les EDR sont protégés par des outils commerciaux de packer et de protection du code, Enigma et Themida. ESET précise que le groupe de menace utilise aussi des signatures numériques volées provenant de logiciels légitimes, bien qu’elles soient non valides.
Même si GentleKiller est l’outil standardisé des attaques du rançongiciel Gentlemen, la collection d’outils anti-EDR du groupe comprend au moins trois utilitaires externes :
- HexKiller, qui était auparavant utilisé par le gang Warlock.
- ThrottleBlood, associé aux attaques MesudaLocker et DragonForce.
- HavocKiller, qui a aussi été observé dans des opérations de rançongiciel.
Le service RaaS Gentlemen a pu les ajouter pour assurer une redondance, complexifier l’attribution des attaques, ou pour des cas spécifiques où l’efficacité de GentleKiller pourrait être limitée.
De plus, ESET a documenté l’utilisation d’OxideHarvest, un outil écrit en Rust qui vole des identifiants. Les chercheurs pensent, en se basant sur le choix de ce langage de programmation, que cet outil a été développé en externe.
L’analyse des chercheurs indique que le rançongiciel Gentlemen sélectionne ses cibles en fonction de la configuration de leurs terminaux FortiGate. Cette information est particulièrement notable après la découverte récente de « FortiBleed », une collection de près de 74 000 identifiants d’accès aux VPN FortiGate.
Le service RaaS Gentlemen avait auparavant compromis le fournisseur d’énergie roumain Oltenia. Il a aussi été relié à un botnet du logiciel malveillant proxy SystemBC qui compte plus de 1 570 hôtes, lesquels seraient des victimes d’entreprises.