Gentlemen ransomware: come bypassa gli EDR con kit di disattivazione sempre più sofisticati

Il ransomware Gentlemen sta alzando il livello degli attacchi non solo con richieste di riscatto più aggressive, ma soprattutto con un arsenale di strumenti sempre più evoluti per bypassare le difese delle vittime. Secondo le analisi più recenti, il gruppo sta sviluppando e distribuendo una famiglia di “EDR-killer” chiamata GentleKiller, che conta almeno otto varianti e mira a disattivare i sistemi di protezione endpoint di oltre 48 vendor. L’obiettivo è chiaro: rendere gli attacchi ransomware più efficaci eliminando le barriere che potrebbero rilevare o bloccare le operazioni di cifratura e esfiltrazione dati. Questo approccio non è una novità assoluta nel panorama delle minacce, ma la sofisticazione di GentleKiller e la sua integrazione in un modello RaaS (Ransomware-as-a-Service) lo rendono particolarmente pericoloso per le organizzazioni di ogni dimensione.

La particolarità di GentleKiller risiede nella sua capacità di impersonare software legittimi, come Kaspersky, Valorant, Javelin e WatchDog, per ottenere privilegi di livello kernel e disabilitare i motori di sicurezza. Questo metodo, noto come “bring your own vulnerable driver” (BYOVD), sfrutta driver vulnerabili per elevare i privilegi e bypassare i controlli di sicurezza. La flessibilità del framework consente agli affiliati di sostituire facilmente i driver o di adattare il tool a nuove vulnerabilità senza dover riscrivere grandi porzioni di codice. Inoltre, le varianti di GentleKiller sono protette da strumenti commerciali di offuscamento come Enigma e Themida, e in alcuni casi utilizzano firme digitali rubate, anche se ormai invalidate, per mascherare la loro origine malevola. Questo livello di sofisticazione indica che il gruppo sta investendo risorse significative nello sviluppo e nel mantenimento di questi strumenti, rendendoli un elemento chiave della propria strategia di attacco.

Come funziona GentleKiller: dal kernel al ransomware

GentleKiller opera in più fasi, tutte finalizzate a neutralizzare le difese prima che possano intervenire. Il processo inizia con l’iniezione di un driver vulnerabile nel sistema della vittima, spesso tramite tecniche di ingegneria sociale o sfruttando falle già presenti nei software installati. Una volta eseguito, il driver viene utilizzato per ottenere privilegi di amministratore, bypassando i controlli di sicurezza di Windows e altri sistemi operativi. A questo punto, GentleKiller può disabilitare i processi associati a oltre 400 nomi di file legati a 48 vendor diversi, tra cui Microsoft, CrowdStrike, SentinelOne, Palo Alto Networks, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix e Kaspersky. La lista è impressionante e copre praticamente tutti i principali attori nel settore della sicurezza endpoint, il che significa che pochi ambienti sono al sicuro da questo attacco.

Un aspetto critico di GentleKiller è la sua architettura modulare. Ogni variante condivide stringhe comuni, tecniche di offuscamento del codice e logiche di eliminazione dei processi, ma può essere rapidamente adattata per sfruttare nuove vulnerabilità. Questo rende il tool estremamente versatile e difficile da contrastare con firme statiche o regole di rilevamento fisse. Inoltre, l’uso di driver vulnerabili già noti riduce il rischio di rilevamento da parte dei sistemi di sicurezza, che spesso non bloccano driver firmati, anche se questi sono stati compromessi. Una volta che le difese sono disattivate, il gruppo Gentlemen può procedere con la cifratura dei dati e, in molti casi, con l’esfiltrazione delle informazioni sensibili per aumentare la pressione sulla vittima durante le trattative per il riscatto.

Il modello RaaS e la crescente sofisticazione degli affiliati

Gentlemen opera come un gruppo RaaS, il che significa che fornisce ai propri affiliati non solo il ransomware, ma anche l’intero arsenale di strumenti necessari per portare a termine un attacco. Questo modello ha permesso al gruppo di scalare rapidamente le proprie operazioni, attirando affiliati con competenze tecniche diversificate e risorse finanziarie. Tuttavia, la vera forza di Gentlemen risiede nella qualità degli strumenti che mette a disposizione: GentleKiller non è solo uno strumento, ma un framework completo che può essere adattato a diversi scenari di attacco. Gli affiliati possono scegliere tra le varianti disponibili o, in alcuni casi, integrare altri strumenti di terze parti per aumentare le probabilità di successo.

Tra gli strumenti aggiuntivi utilizzati dal gruppo, spicca OxideHarvest, un tool basato su Rust progettato per rubare credenziali. Questo indica che Gentlemen non si limita a disabilitare le difese, ma cerca anche di ottenere accessi privilegiati per muoversi lateralmente all’interno della rete della vittima. L’uso di OxideHarvest suggerisce una strategia a più livelli, in cui l’obiettivo finale non è solo la cifratura dei dati, ma anche la compromissione a lungo termine dell’infrastruttura IT della vittima. Questo approccio è in linea con le tattiche adottate da altri gruppi ransomware di alto profilo, che cercano di massimizzare il danno e il valore del riscatto.

Impatto sulle aziende: perché questo attacco è diverso

Il ransomware Gentlemen rappresenta una minaccia particolarmente insidiosa per le aziende perché combina diversi elementi che lo rendono difficile da rilevare e contrastare. Innanzitutto, l’uso di driver vulnerabili per ottenere privilegi di kernel bypassa molti dei controlli di sicurezza tradizionali, che spesso si concentrano su livelli di protezione più alti. Inoltre, la capacità di impersonare software legittimi rende più facile per il malware eludere i sistemi di rilevamento basati su firme o comportamenti anomali. Infine, l’integrazione di strumenti come OxideHarvest indica che il gruppo non si accontenta di cifrare i dati, ma cerca di stabilire una presenza persistente nella rete, aumentando il rischio di ulteriori attacchi o esfiltrazioni di dati sensibili.

Per le aziende, questo significa che la difesa contro Gentlemen richiede un approccio olistico e proattivo. Non basta più affidarsi a un singolo prodotto di sicurezza endpoint: è necessario implementare una strategia a più livelli che includa la segmentazione della rete, il monitoraggio continuo del traffico e delle attività sospette, e la limitazione dei privilegi degli utenti. Inoltre, le organizzazioni dovrebbero considerare l’adozione di soluzioni di rilevamento e risposta basate su intelligenza artificiale, che possono identificare comportamenti anomali anche quando le firme tradizionali falliscono. La formazione del personale è altrettanto cruciale, poiché molte infezioni iniziano con tecniche di ingegneria sociale, come phishing o attacchi tramite plugin compromessi.

Le difese tradizionali sono ancora efficaci?

La domanda che molte aziende si pongono è se le difese tradizionali, come gli antivirus e gli EDR, siano ancora in grado di proteggerle contro attacchi come quelli di Gentlemen. La risposta non è semplice. Da un lato, gli strumenti di sicurezza endpoint moderni sono diventati molto più sofisticati, con capacità di rilevamento basate su machine learning e analisi comportamentale. Questi sistemi possono identificare attività sospette anche quando il malware utilizza tecniche avanzate per eludere il rilevamento. Dall’altro lato, però, gli attaccanti come Gentlemen stanno sviluppando strumenti sempre più sofisticati per bypassare queste difese.

Un esempio concreto è l’uso di driver vulnerabili: molti sistemi di sicurezza non bloccano i driver firmati, anche se questi sono stati compromessi, perché ritengono che un driver firmato sia automaticamente affidabile. Questo è un errore che gli attaccanti stanno sfruttando sempre di più. Per contrastare questa minaccia, le aziende devono adottare una strategia di “defense in depth”, che includa non solo la protezione endpoint, ma anche il monitoraggio della rete, la gestione dei privilegi e la segmentazione. Inoltre, è fondamentale mantenere aggiornati tutti i sistemi e applicare le patch di sicurezza non appena vengono rilasciate, per ridurre il rischio di sfruttamento di vulnerabilità note.

Cosa devono fare le organizzazioni per proteggersi

Le organizzazioni che vogliono proteggersi dagli attacchi di Gentlemen devono adottare un approccio proattivo e multilivello. Innanzitutto, è essenziale implementare una solida strategia di gestione delle patch, assicurandosi che tutti i sistemi siano aggiornati con le ultime versioni dei software e dei driver. In secondo luogo, le aziende dovrebbero considerare l’adozione di soluzioni di sicurezza che utilizzano tecniche di rilevamento basate su intelligenza artificiale, in grado di identificare comportamenti anomali anche quando le firme tradizionali falliscono. Queste soluzioni possono essere integrate con gli EDR esistenti per fornire una protezione più completa.

Un altro passo cruciale è la segmentazione della rete. Limitando la capacità degli attaccanti di muoversi lateralmente, le organizzazioni possono ridurre l’impatto di un eventuale attacco. Inoltre, è importante implementare una politica di privilegi minimi, assicurandosi che gli utenti abbiano accesso solo alle risorse necessarie per svolgere il proprio lavoro. Questo riduce il rischio che un attaccante, una volta ottenuto l’accesso a un account, possa compromettere l’intera rete. Infine, la formazione del personale rimane uno degli strumenti più efficaci per prevenire attacchi di phishing e ingegneria sociale, che spesso rappresentano il vettore iniziale di infezione.

Il futuro delle minacce ransomware e le tendenze da monitorare

Il panorama delle minacce ransomware è in continua evoluzione, e gli attacchi come quelli di Gentlemen rappresentano solo l’inizio di una tendenza che vedrà crescere la sofisticazione degli strumenti utilizzati dai gruppi criminali. Con l’aumento della concorrenza tra i gruppi RaaS, è probabile che assisteremo a una corsa agli armamenti in cui sia gli attaccanti che i difensori cercheranno di superarsi a vicenda. Per le aziende, questo significa che la sicurezza informatica non può più essere considerata un costo, ma un investimento necessario per proteggere la propria attività.

Una tendenza da monitorare è l’uso crescente di linguaggi di programmazione come Rust, che offrono maggiore stabilità e sicurezza rispetto a C o C++. Tuttavia, come dimostra OxideHarvest, anche questi linguaggi possono essere utilizzati per creare strumenti malevoli sofisticati. Un’altra tendenza è l’adozione di tecniche di attacco basate su kernel, che permettono agli attaccanti di bypassare le difese tradizionali e ottenere un controllo totale sui sistemi compromessi. Per contrastare queste minacce, le aziende dovranno investire in soluzioni di sicurezza avanzate e in formazione continua del personale.

Conclusioni: la sicurezza informatica come processo continuo

Gli attacchi del gruppo Gentlemen con il ransomware e gli strumenti GentleKiller rappresentano un promemoria importante del fatto che la sicurezza informatica non è un traguardo da raggiungere una volta per tutte, ma un processo continuo che richiede attenzione costante e aggiornamenti continui. Le aziende devono adottare un approccio proattivo, implementando difese a più livelli e monitorando costantemente le proprie infrastrutture per rilevare e rispondere rapidamente a eventuali minacce. Solo così sarà possibile ridurre il rischio di attacchi ransomware e proteggere i dati sensibili delle organizzazioni.

Per chi opera nel settore della sicurezza, questo scenario sottolinea l’importanza di condividere informazioni e best practice tra vendor, ricercatori e utenti finali. La collaborazione è fondamentale per sviluppare difese più efficaci e per anticipare le mosse degli attaccanti. Per le aziende, invece, la lezione è chiara: la sicurezza informatica deve essere una priorità assoluta, con investimenti adeguati in tecnologie, formazione e processi. Solo così sarà possibile affrontare le minacce in continua evoluzione del panorama attuale delle cyber minacce.