Gentlemen-Ransomware setzt mehrere EDR-Killer zur Umgehung von Schutzsoftware ein

Zusammenfassung

Die Ransomware-as-a-Service-Gruppe Gentlemen entwickelt und pflegt laut ESET gezielt Werkzeuge, um Endpoint-Detection-and-Response-Systeme in Angriffen auszuschalten. Im Mittelpunkt steht ein von den Forschern GentleKiller genanntes Werkzeug, das in mindestens acht Varianten vorliegt und sich als legitime Produkte wie Kaspersky, Valorant, Javelin oder WatchDog tarnt. Solche EDR-Killer kommen typischerweise in frühen Phasen eines Angriffs zum Einsatz, um Abwehrmechanismen außer Kraft zu setzen. Bei Ransomware-Vorfällen sollen sie sicherstellen, dass Datendiebstahl oder Verschlüsselung ungehindert ablaufen können. Nach Angaben von ESET nutzt die Gruppe dafür die Technik „Bring your own vulnerable driver“ (BYOVD), um Rechte zu erweitern und Sicherheitskomponenten mit Kernel-Rechten abzuschalten. Die Analyse deutet darauf hin, dass das Framework so aufgebaut ist, dass sich anfällige Treiber leicht austauschen und neu bekannt gewordene Schwachstellen ohne größere Codeänderungen bewaffnen lassen.

Nach Angaben von ESET verwendet jede GentleKiller-Variante unterschiedliche verwundbare Treiber, um Rechte auf Kernel-Ebene zu erlangen. Gemeinsam seien ihnen jedoch bestimmte Zeichenketten, identische Techniken zur Code-Verschleierung sowie eine ähnliche Logik zum Beenden von Prozessen und bei der Zielauswahl. Das spricht laut den Forschern für ein standardisiertes Werkzeugset, das innerhalb der Gentlemen-Angriffe wiederverwendet wird.

ESET zufolge richtet sich GentleKiller gegen mehr als 400 Prozesse, die etwa 48 Sicherheitsanbietern und -produkten zugeordnet sind. Genannt werden unter anderem Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix und Kaspersky. Die Binärdateien des Werkzeugs sind durch die kommerziellen Pack- und Code-Schutzlösungen Enigma und Themida geschützt. Außerdem setzt der Bedrohungsakteur laut ESET gestohlene digitale Signaturen legitimer Software ein, auch wenn diese ungültig sind.

GentleKiller ist laut ESET zwar ein standardisiertes Werkzeug bei Angriffen mit der Gentlemen-Ransomware, die Sammlung der Gruppe umfasst jedoch zusätzlich mindestens drei externe EDR-Killer. Warum diese ergänzt wurden, bleibt offen; ESET nennt als mögliche Gründe Redundanz, eine erschwerte Zuordnung oder den Einsatz in Spezialfällen, in denen GentleKiller nur eingeschränkt wirksam ist.

Zusätzlich dokumentierten die Forscher den Einsatz von OxideHarvest, einem in Rust geschriebenen Werkzeug zum Diebstahl von Zugangsdaten. Aufgrund der verwendeten Programmiersprache gehen die Forscher davon aus, dass dieses Tool extern entwickelt wurde.

Die Analyse von ESET zeigt zudem, dass Gentlemen seine Ziele anhand der Konfiguration ihrer FortiGate-Endpunkte auswählt. Die Forscher heben hervor, dass dies vor dem Hintergrund der jüngsten Entdeckung von „FortiBleed“ bemerkenswert ist, einer Sammlung von fast 74.000 FortiGate-VPN-Zugangsdaten.

Bereits zuvor kompromittierte die Gentlemen-RaaS laut Quelltext den rumänischen Energieversorger Oltenia. Außerdem wurde die Gruppe mit einem SystemBC-Proxy-Malware-Botnetz mit mehr als 1.570 Hosts in Verbindung gebracht, bei denen es sich den Angaben zufolge vermutlich um Unternehmensopfer handelt.

Gentlemen-Ransomware setzt mehrere EDR-Killer zur Umgehung von Schutzsoftware ein

Ähnliche Artikel

Neueste Artikel