详细内容或原文请订阅后点击阅览
GentleKiller 内部:EDR 杀手为绅士们提供动力
The Gentlemen 为分支机构配备了集中式 EDR 杀手套件,可快速武器化 BYOVD 漏洞,以便在勒索软件攻击之前禁用安全工具。 ESET 于 6 月 18 日发布了 The Gentlemen 技术基础设施的详细细分,这是数月事件级调查的结果,并得到了该组织自 2026 年 5 月以来的内部数据泄露的证实。自 2026 年 5 月末出现以来,
来源:Security Affairs _恶意软件GentleKiller 内部:EDR 杀手为绅士们提供动力
The Gentlemen 为分支机构配备了集中式 EDR 杀手套件,可快速武器化 BYOVD 漏洞,以便在勒索软件攻击之前禁用安全工具。
ESET 于 6 月 18 日发布了 The Gentlemen 技术基础设施的详细细分,这是该组织自 2026 年 5 月起泄露的内部数据证实的数月事件级调查的结果。自 2025 年底出现以来,The Gentlemen 已声称有 504 名受害者,并成为 2026 年第一季度最活跃的五个勒索软件活动之一。让他们与众不同的并不是勒索软件有效负载。这是他们在有效负载运行之前交给附属机构的东西。
大多数勒索软件即服务运营商离开附属机构,寻找自己的工具来禁用端点安全。先生们采取了不同的方法。
“先生们展示了一种有趣的方法:运营商管理的 EDR 杀手,可供附属机构使用。”阅读 ESET 发布的报告。 “虽然大多数勒索软件团伙继续将 EDR 查杀委托给附属机构,但 Gentlemen 选择通过向附属机构提供即用型标准化 EDR 杀手套件来集中此功能。这一决定使 Gentlemen 成为对附属机构有吸引力的运营商,因为它大大降低了他们的进入门槛,从而使他们的工作变得更容易。”
泄露的内部数据证实了 ESET 自 2026 年 2 月以来的假设:该组织的领导者以 zeta88 为名,公开讨论维护并向附属机构分发 EDR 杀手包。
该套件的核心是 GentleKiller,一个具有至少八个不同变体的内部框架。每个人都冒充不同的合法产品,并通过一种称为“自带易受攻击的驱动程序”(BYOVD) 的技术滥用不同的易受攻击或恶意的内核驱动程序。
研究人员指出,适应速度是另一个决定性特征。
皮尔路易吉·帕格尼尼