El ransomware Gentlemen y su kit de herramientas para desactivar EDR: cómo funciona y qué implica para las empresas

La evolución del ransomware: de cifrado a evasión avanzada de defensas

El ransomware ya no se limita a cifrar archivos y exigir rescates. Grupos como Gentlemen están adoptando tácticas más sofisticadas para garantizar que sus ataques sean efectivos, especialmente mediante la desactivación de las herramientas de seguridad instaladas en los sistemas objetivo. Según análisis recientes, este colectivo está desarrollando y manteniendo un conjunto de utilidades conocidas como "EDR killers", diseñadas específicamente para neutralizar soluciones de detección y respuesta en endpoints (EDR). Estas herramientas permiten a los atacantes operar sin interferencias, aumentando significativamente la probabilidad de éxito de sus campañas.

La sofisticación de estos ataques radica en su capacidad para operar en capas bajas del sistema operativo, donde las defensas tradicionales suelen tener menos visibilidad. Al desactivar los motores de escaneo en tiempo real, los operadores de ransomware pueden moverse lateralmente por la red, exfiltrar datos sensibles y cifrar archivos sin ser detectados. Este enfoque representa un cambio fundamental en la estrategia de los grupos de ransomware, que ahora priorizan la evasión sobre la velocidad o el impacto inmediato.

GentleKiller: el núcleo de la estrategia de evasión de Gentlemen

Uno de los componentes centrales de esta estrategia es GentleKiller, una herramienta personalizada desarrollada por el grupo Gentlemen. Según investigadores, esta utilidad cuenta con al menos ocho variantes, cada una diseñada para imitar procesos legítimos de seguridad. Entre los nombres que adopta se incluyen Kaspersky, Valorant, Javelin y WatchDog, lo que le permite camuflarse como software autorizado y evitar sospechas iniciales.

GentleKiller opera mediante la técnica conocida como "bring your own vulnerable driver" (BYOVD), que aprovecha controladores vulnerables para obtener privilegios de kernel. Esto le permite desactivar los motores de seguridad a nivel de sistema, donde las soluciones EDR suelen ejecutarse. La versatilidad de GentleKiller es notable: cada variante utiliza diferentes controladores vulnerables, pero todas comparten patrones comunes en su código, como cadenas idénticas, técnicas de ofuscación similares y lógica de finalización de procesos consistente.

La arquitectura modular de GentleKiller facilita su adaptación. Los desarrolladores pueden intercambiar controladores vulnerables o incorporar nuevas vulnerabilidades sin necesidad de reescribir grandes porciones del código. Esto sugiere que el grupo está invirtiendo recursos significativos en mantener y actualizar esta herramienta, lo que indica una prioridad estratégica en la evasión de defensas.

Alcance de la amenaza: más de 400 procesos y 48 proveedores afectados

La lista de objetivos de GentleKiller es extensa. Según análisis de investigadores, la herramienta está programada para identificar y desactivar más de 400 procesos asociados a aproximadamente 48 productos y proveedores de seguridad. Entre los nombres destacados se encuentran Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix y Kaspersky. Esta amplitud refleja un esfuerzo deliberado por cubrir las soluciones más utilizadas en el mercado, asegurando que los atacantes puedan operar en entornos con defensas diversas.

La capacidad de desactivar múltiples soluciones de seguridad simultáneamente aumenta la efectividad de los ataques. Los operadores de ransomware no dependen de una sola herramienta de defensa, por lo que neutralizar varias de ellas reduce drásticamente las probabilidades de detección. Además, al imitar procesos legítimos, GentleKiller puede pasar desapercibido incluso en sistemas donde los administradores revisan manualmente las tareas en ejecución.

Técnicas de ocultación y protección del software malicioso

Para evitar ser detectados por soluciones antivirus o análisis estático, los desarrolladores de GentleKiller han implementado varias capas de protección. Los binarios de la herramienta están empaquetados con herramientas comerciales como Enigma y Themida, que aplican ofuscación avanzada y protección contra ingeniería inversa. Estas técnicas dificultan la identificación de la carga útil maliciosa incluso cuando el archivo es examinado por herramientas de seguridad.

Además, los atacantes han recurrido al uso de firmas digitales robadas de software legítimo para firmar sus herramientas. Aunque estas firmas suelen ser inválidas o revocadas, su presencia puede generar confianza inicial en los sistemas, permitiendo que el malware se ejecute antes de ser bloqueado. Este enfoque subraya la importancia de verificar la validez de las firmas digitales en entornos corporativos, especialmente en herramientas que requieren privilegios elevados.

Herramientas externas y redundancia en los ataques

Aunque GentleKiller es la herramienta principal, los investigadores han identificado que el grupo Gentlemen también incorpora al menos tres herramientas externas en su kit de ataque. Estas utilidades adicionales podrían estar destinadas a casos específicos donde GentleKiller no sea efectivo, o como medida de redundancia para aumentar las probabilidades de éxito.

Una de las herramientas externas documentadas es OxideHarvest, desarrollada en Rust y diseñada para el robo de credenciales. Su inclusión sugiere que los atacantes buscan maximizar el acceso a información sensible durante las fases iniciales del ataque. La combinación de herramientas para evasión, robo de credenciales y movimiento lateral permite a los operadores de ransomware llevar a cabo ataques más completos y difíciles de contener.

Implicaciones para las empresas: por qué estos ataques son difíciles de detectar

Los ataques que emplean EDR killers como GentleKiller representan un desafío significativo para las empresas, incluso aquellas con soluciones de seguridad avanzadas. La capacidad de desactivar defensas a nivel de kernel permite a los atacantes operar con impunidad durante las primeras fases del compromiso. Además, al imitar procesos legítimos, el malware puede evitar ser detectado por sistemas de monitoreo basados en firmas o comportamientos anómalos.

Las empresas que dependen únicamente de soluciones EDR tradicionales pueden encontrar difícil detectar estos ataques hasta que sea demasiado tarde. Esto subraya la necesidad de adoptar un enfoque de defensa en profundidad, que incluya monitorización continua, análisis de comportamiento y segmentación de red. También es crucial implementar políticas estrictas de control de privilegios y verificar regularmente la integridad de los binarios en los sistemas.

Medidas de mitigación y mejores prácticas para organizaciones

Ante la creciente sofisticación de estas herramientas, las empresas deben revisar y actualizar sus estrategias de ciberseguridad. Una de las primeras líneas de defensa es la implementación de controles que limiten la capacidad de los atacantes para ejecutar herramientas con privilegios elevados. Esto incluye la desactivación de la ejecución de controladores no firmados, la restricción del uso de firmas digitales robadas y la aplicación de políticas de whitelisting para aplicaciones autorizadas.

La monitorización proactiva de la red también es esencial. Las empresas deben implementar soluciones que analicen el tráfico en busca de comportamientos inusuales, como la comunicación con servidores de comando y control o el movimiento lateral entre sistemas. Además, es recomendable realizar auditorías periódicas de los sistemas para identificar procesos sospechosos o binarios no autorizados.

La formación continua del personal es otro aspecto crítico. Los empleados deben ser conscientes de los riesgos asociados con la descarga de software de fuentes no confiables y la ejecución de archivos adjuntos en correos electrónicos. La concienciación sobre técnicas de ingeniería social, como el phishing, puede reducir la probabilidad de que los atacantes obtengan acceso inicial a la red.

El futuro de los ataques de ransomware: hacia una evasión aún más avanzada

La evolución de herramientas como GentleKiller indica que los grupos de ransomware están invirtiendo recursos significativos en desarrollar capacidades de evasión. Es probable que en el futuro veamos herramientas aún más sofisticadas, capaces de adaptarse dinámicamente a diferentes entornos de seguridad. Esto podría incluir el uso de inteligencia artificial para identificar y neutralizar defensas en tiempo real, o la explotación de vulnerabilidades zero-day en soluciones EDR.

Las empresas deben prepararse para este panorama en constante cambio adoptando tecnologías que no dependan únicamente de firmas o heurísticas estáticas. Las soluciones basadas en comportamiento, el análisis de memoria en tiempo real y la integración de inteligencia de amenazas pueden proporcionar una capa adicional de protección. Además, la colaboración con comunidades de investigación y el intercambio de información sobre amenazas emergentes son clave para mantenerse un paso adelante de los atacantes.

Conclusión

El ransomware Gentlemen y sus herramientas de desactivación de EDR representan una amenaza significativa para las empresas, con capacidades que superan las defensas tradicionales. La combinación de técnicas como BYOVD, ofuscación avanzada y robo de credenciales permite a los atacantes operar con un alto grado de impunidad. Para mitigar estos riesgos, las organizaciones deben adoptar un enfoque integral que incluya controles técnicos, monitorización proactiva y formación del personal. La ciberseguridad ya no puede depender de soluciones estáticas; es necesario evolucionar constantemente para enfrentar las tácticas cada vez más sofisticadas de los grupos de ransomware.