ESET-Forscher Jakub Souček beschreibt The Gentlemen in einem Bericht als RaaS-Operation mit einem ausgereiften Satz an EDR-Killern. Diese Werkzeuge sollen Affiliates dabei helfen, Systemschutz vor der Ausbringung des Verschlüsselers zu beeinträchtigen. Laut Souček werden dabei auch Drittanbieter- oder geleakte Werkzeuge wie HexKiller, ThrottleBlood und HavocKiller eingebunden. Vereinheitlicht würden sie über eine gemeinsame Schicht zur Umgehung von Abwehrmechanismen, die überwiegend Sicherheitsanbieter imitiert und dafür gefälschte Versionsinformationen sowie kopierte Zertifikate und Symbole nutzt.
Nach Einschätzung von ESET zählt The Gentlemen zu den technisch agilsten RaaS-Gruppen. Die Forscher verweisen darauf, dass neu veröffentlichte Proof-of-Concept-Exploits für BYOVD-Angriffe in vielen Fällen innerhalb weniger Tage nach ihrer öffentlichen Freigabe einsatzfähig gemacht würden. Souček sagte, die zugrunde liegende Codebasis zeige trotz unterschiedlicher Tarnung und variierender Treiber zahlreiche strukturelle und verhaltensbezogene Gemeinsamkeiten. Das deute stark auf eine gemeinsame Entwicklungsvorlage hin.
Diese Architektur sei darauf ausgelegt, den Einsatz für Affiliates zu vereinfachen und zugleich den Entwicklungsaufwand für die Betreiber gering zu halten. Laut Souček können die Betreiber dadurch missbrauchte Treiber sehr schnell in ihr Werkzeugset aufnehmen, sobald ein neuer Proof of Concept für einen EDR-Killer öffentlich wird.
Das verbreitetste Werkzeug in diesem Portfolio ist laut ESET GentleKiller. Davon existieren acht Varianten, die jeweils ein anderes legitimes Produkt nachahmen und im Rahmen eines BYOVD-Angriffs einen anderen verwundbaren oder bösartigen Treiber missbrauchen. GentleKiller sucht gezielt nach 400 Prozessen, die 48 unterschiedlichen Sicherheitsprogrammen verschiedener Anbieter zugeordnet sind.
ESET zufolge verschleiert die Gruppe ihre kompilierten EDR-Killer zusätzlich mit Binärschutz durch Enigma oder Themida. Hinzu kommen Dateinamen, die bekannten Cybersicherheitsanbietern ähneln, inklusive Versionsinformationen, digitaler Signaturen und Programmsymbole. Auch dadurch sollen die Werkzeuge der Erkennung entgehen.
Ergänzend entdeckte ESET einen in Rust geschriebenen Credential Stealer mit dem Codenamen OxideHarvest, auch bekannt als buildx641. Die Malware kann Daten aus gängigen Webbrowsern abgreifen, darunter Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk und IceCat.
ESET hebt hervor, dass viele Ransomware-Gruppen das Ausschalten von EDR-Lösungen weiterhin ihren Affiliates überlassen. The Gentlemen gehe einen anderen Weg und stelle ein sofort einsetzbares, standardisiertes Paket solcher Werkzeuge zentral bereit. Das senke laut ESET die Einstiegshürde für Affiliates deutlich.
Parallel dazu hat das CERT Coordination Center (CERT/CC) vor mehreren von Herstellern signierten UEFI-Anwendungen gewarnt, die über einen BYOVD-Angriff eine Umgehung von Secure Boot ermöglichen. ESET-Forscher Martin Smolár wird die Erforschung und Meldung der Schwachstelle zugeschrieben. Betroffen sind Anwendungen von Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba und Uniwill. CERT/CC erklärte, dass ein Angreifer mit Administratorrechten oder physischem Zugriff auf einem Zielsystem beliebigen Code in einer frühen Vorstartphase ausführen kann, falls das System dem Zertifikat des betroffenen Herstellers vertraut. Als Gegenmaßnahme empfiehlt CERT/CC Aktualisierungen der UEFI-Sperrliste DBX, um das Vertrauen in die betroffenen signierten Binärdateien zu widerrufen.