Gentlemen: как новая группа вымогателей обходит защиту EDR и угрожает бизнесу

В последние месяцы кибербезопасность столкнулась с новой волной атак, в которых злоумышленники не просто шифруют данные, но и целенаправленно уничтожают инструменты защиты ещё до начала основной фазы вторжения. Группа Gentlemen, действующая по модели вымогательского ПО как услуги (RaaS), выделяется среди коллег тем, что активно разрабатывает и поддерживает целый арсенал EDR-killer — специализированных утилит для отключения систем обнаружения и реагирования на конечных узлах. По данным анализа, GentleKiller, основной инструмент группы, насчитывает не менее восьми модификаций, каждая из которых маскируется под легитимные продукты, такие как Kaspersky, Valorant, Javelin или WatchDog. Это позволяет атакующим оставаться незамеченными даже в хорошо защищённых сетях, что делает Gentlemen особенно опасной угрозой для бизнеса любого масштаба.

Почему EDR-killer стал ключевым оружием в руках вымогателей

Современные компании вкладывают значительные средства в системы защиты конечных устройств — EDR-решения (Endpoint Detection and Response) от Microsoft, CrowdStrike, SentinelOne, Palo Alto Networks, Sophos, Trend Micro и других вендоров. Эти системы круглосуточно мониторят активность процессов, анализируют поведение программ и блокируют подозрительные действия, включая попытки шифрования файлов. Однако, как показывает практика, даже самые надёжные решения уязвимы, если атакующие получают возможность работать на уровне ядра операционной системы.

Именно эту задачу решают EDR-killer: они отключают или полностью деактивируют защитные модули до того, как те смогут среагировать на угрозу. В случае с Gentlemen этот подход доведён до совершенства. Их флагманский инструмент, GentleKiller, не только блокирует процессы безопасности, но и использует технику «привези свой уязвимый драйвер» (Bring Your Own Vulnerable Driver, BYOVD). Суть метода в том, что атакующий загружает на целевую машину легитимный, но содержащий уязвимость драйвер, который позволяет получить права администратора или даже ядерные привилегии. С их помощью GentleKiller получает полный контроль над системой и отключает защиту, не оставляя следов.

По данным анализа, GentleKiller нацелен на более чем 400 процессов, связанных с продуктами 48 вендоров. В этот список входят не только специализированные EDR-решения, но и антивирусы, межсетевые экраны и системы контроля приложений. При этом атакующие не ограничиваются стандартными методами: они используют коммерческие упаковщики Enigma и Themida для сокрытия кода, а также применяют украденные цифровые подписи легитимного ПО, чтобы обойти проверку подлинности. Это делает GentleKiller крайне сложным для обнаружения даже для продвинутых защитных решений.

Как работает GentleKiller: от маскировки до ядерной атаки

Каждая из восьми известных модификаций GentleKiller построена по одному принципу, но использует разные уязвимые драйверы для достижения своих целей. Например, одна версия может эксплуатировать драйвер видеокарты NVIDIA, другая — компонент виртуализации Hyper-V, третья — драйвер сетевой карты Intel. При этом все варианты имеют общие строки в коде, идентичные методы обфускации и унифицированную логику убийства процессов. Это говорит о том, что GentleKiller не просто набор случайных утилит, а хорошо структурированный инструмент, который можно быстро адаптировать под новые уязвимости.

Механизм атаки начинается с доставки вредоносного ПО на целевую машину. Обычно это происходит через фишинговые письма, уязвимости в программном обеспечении или компрометацию учётных данных. После проникновения GentleKiller загружает уязвимый драйвер и использует его для повышения привилегий. Как только атакующий получает права администратора, он отключает защитные процессы EDR, антивирусов и других систем безопасности. На этом этапе важно отметить, что GentleKiller не просто завершает процессы — он модифицирует их код или подменяет легитимные модули, чтобы они не могли запуститься повторно.

Интересной особенностью является то, что GentleKiller не привязан к конкретной уязвимости. Его архитектура позволяет быстро заменять используемые драйверы на новые, как только в них обнаруживаются бреши. Это делает его крайне устойчивым к обновлениям защитных решений. Кроме того, атакующие используют украденные цифровые подписи, чтобы подписать вредоносный код как легитимный, что усложняет его обнаружение антивирусными системами. Даже если EDR-решение обнаружит подозрительную активность, оно может быть обмануто поддельными подписями.

Вспомогательный арсенал: чем ещё вооружены Gentlemen

Хотя GentleKiller является основным инструментом группы, аналитики выявили, что Gentlemen используют и другие EDR-killer, включая как минимум три внешних решения. Вероятно, это сделано для повышения надёжности атак: в случае, если GentleKiller будет обнаружен или заблокирован, злоумышленники могут переключиться на альтернативные инструменты. Среди них упоминается OxideHarvest — утилита на языке Rust, предназначенная для кражи учётных данных. Она может использоваться как на этапе разведки, так и для получения доступа к привилегированным учётным записям.

Использование нескольких EDR-killer говорит о высоком уровне подготовки группы. Это не случайные атаки, а хорошо спланированные операции, в которых каждый инструмент выполняет свою роль. Например, OxideHarvest может быть использован для сбора паролей администраторов, которые затем применяются для горизонтального перемещения по сети. После получения контроля над ключевыми системами Gentlemen развёртывает своё вымогательское ПО, шифруя данные и требуя выкуп.

Ещё одним важным аспектом является то, что Gentlemen, как и многие современные группы вымогателей, работают по модели RaaS. Это означает, что они предоставляют свои инструменты и инфраструктуру в аренду другим киберпреступникам. Таким образом, даже менее опытные атакующие могут использовать мощные EDR-killer, что увеличивает количество потенциальных жертв. Модель RaaS снижает порог входа в киберпреступность, делая угрозу ещё более массовой.

Какие компании находятся в зоне риска

Поскольку GentleKiller нацелен на процессы более 48 вендоров, в зоне риска находятся практически все компании, использующие EDR-решения или антивирусы. Особенно уязвимы организации с разветвлённой инфраструктурой, где на разных устройствах установлены разные защитные продукты. Атакующие могут адаптировать GentleKiller под конкретные системы, что делает его универсальным оружием.

Наибольшую опасность представляют атаки на корпоративные сети, где вымогатели получают доступ к критически важным данным. После отключения EDR злоумышленники могут беспрепятственно перемещаться по сети, похищать конфиденциальную информацию и шифровать файлы. Даже если компания имеет резервные копии, угроза утечки данных остаётся актуальной, так как Gentlemen практикуют двойное вымогательство: сначала крадут данные, а затем требуют выкуп за их возврат и за расшифровку.

Помимо прямых финансовых потерь, атаки такого рода наносят репутационный ущерб. Утечка данных клиентов или внутренней информации может привести к потере доверия, юридическим санкциям и финансовым штрафам. Особенно это касается компаний, работающих в регулируемых отраслях, таких как финансы, здравоохранение или государственный сектор.

Как защититься от атак с использованием EDR-killer

Защита от таких продвинутых угроз требует комплексного подхода. Во-первых, необходимо регулярно обновлять все программные продукты, включая операционные системы, драйверы и защитные решения. Устаревшие компоненты часто содержат уязвимости, которые могут быть использованы для доставки EDR-killer. Также важно ограничить установку неподписанных драйверов и приложений, так как именно они чаще всего становятся вектором атаки.

Во-вторых, следует внедрить многоуровневую защиту, которая включает не только EDR-решения, но и системы предотвращения вторжений (IPS), межсетевые экраны и решения для мониторинга сетевого трафика. Детекция на уровне сети может выявить подозрительную активность ещё до того, как она достигнет конечных устройств. Например, попытки загрузки неподписанных драйверов или необычные сетевые соединения должны быть немедленно расследованы.

В-третьих, необходимо обучить сотрудников основам кибергигиены. Фишинг остаётся одним из основных векторов атак, и даже самая продвинутая защита может быть обойдена, если сотрудник откроет вредоносное письмо или перейдёт по подозрительной ссылке. Регулярные тренинги и симуляции атак помогут снизить риск компрометации учётных данных.

Наконец, важно иметь план реагирования на инциденты. Даже если атакующим удастся проникнуть в сеть, быстрое обнаружение и изоляция заражённых устройств могут минимизировать ущерб. Резервное копирование данных должно быть регулярным, надёжным и изолированным от основной сети, чтобы его нельзя было заблокировать или уничтожить вместе с основными системами.

Что ждёт Gentlemen и их EDR-killer в будущем

Поскольку Gentlemen продолжают совершенствовать свои инструменты, эксперты по кибербезопасности ожидают, что атаки с использованием EDR-killer станут ещё более распространёнными. Группы вымогателей будут искать новые уязвимости в драйверах и защитных решениях, чтобы обходить современные системы безопасности. Это означает, что вендорам EDR и антивирусов придётся оперативно реагировать на новые угрозы, выпуская патчи и обновления.

В то же время, развитие технологий защиты может привести к тому, что GentleKiller и подобные ему инструменты станут менее эффективными. Например, новые версии Windows и других ОС могут внедрять более строгие механизмы контроля драйверов, что затруднит использование BYOVD. Кроме того, развитие искусственного интеллекта в области кибербезопасности позволяет детектировать аномальное поведение даже в зашифрованном трафике, что усложняет жизнь атакующим.

Однако стоит помнить, что Gentlemen — это не единственная группа, использующая такие методы. Другие вымогательские группировки, такие как BlackCat, LockBit и Cl0p, также активно экспериментируют с EDR-killer и другими продвинутыми техниками. Это означает, что борьба с вымогателями выходит на новый уровень, где решающую роль играет не только защита, но и оперативное реагирование на инциденты.

Вывод: почему Gentlemen — это сигнал для всех

Gentlemen и их EDR-killer — это не просто ещё одна группа вымогателей. Это пример того, как киберпреступники адаптируются к современным методам защиты, находя новые способы обхода даже самых надёжных решений. Их подход, основанный на использовании уязвимых драйверов, украденных подписей и продвинутых техник маскировки, ставит новые вызовы перед специалистами по кибербезопасности.

Для бизнеса это означает, что традиционные средства защиты больше не достаточны. Необходимо переходить на многоуровневые решения, регулярно обновлять инфраструктуру и обучать сотрудников. Только так можно снизить риск успешной атаки и минимизировать потенциальный ущерб. В эпоху, когда вымогатели становятся всё более изощрёнными, бдительность и готовность к инцидентам становятся ключевыми факторами выживания.