Security Bez Tabu - Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo

The Gentlemen rozwija GentleKiller: nowy framework do wyłączania EDR wzmacnia ataki ransomware

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa ransomware-as-a-service The Gentlemen rozwija własny, ustandaryzowany zestaw narzędzi do neutralizowania mechanizmów EDR przed uruchomieniem szyfratora. Kluczowym elementem tego ekosystemu jest framework GentleKiller, którego zadaniem jest wyłączanie procesów ochronnych na stacjach roboczych i serwerach. To kolejny sygnał, że operatorzy ransomware coraz częściej budują rozbudowane zaplecze techniczne, które ma zwiększać skuteczność afiliantów i ograniczać wpływ zabezpieczeń endpointów na powodzenie ataku.

Z perspektywy obrońców oznacza to zmianę jakościową. Atak nie kończy się już na dostarczeniu malware i próbie szyfrowania danych, ale obejmuje również etap aktywnego osłabiania widoczności i odporności środowiska jeszcze przed właściwą fazą destrukcyjną.

W skrócie

  • The Gentlemen udostępnia afiliantom narzędzie GentleKiller do wyłączania rozwiązań EDR i AV.
  • Framework wykorzystuje technikę BYOVD, czyli nadużywanie podatnych lub ofensywnych sterowników do działań na poziomie jądra systemu.
  • Narzędzie ma identyfikować i eliminować około 400 procesów powiązanych z 48 produktami bezpieczeństwa.
  • Grupa szybko wdraża publicznie ujawnione proof-of-concepty, skracając czas między publikacją techniki a jej użyciem operacyjnym.
  • W kampaniach obserwowane są także komponenty do kradzieży poświadczeń, co wzmacnia model podwójnego wymuszenia.

Kontekst / historia

The Gentlemen pojawiło się w marcu 2025 roku i w krótkim czasie zostało wskazane jako aktywny operator w modelu RaaS. Wyróżnikiem tej grupy jest centralizacja funkcji obchodzenia zabezpieczeń. Zamiast pozostawiać neutralizację EDR po stronie afiliantów, operator dostarcza gotowy framework, który można wdrożyć w różnych środowiskach ofiar.

To istotny etap industrializacji cyberprzestępczości. W wielu wcześniejszych modelach ransomware afilianci musieli samodzielnie dobierać narzędzia do wyłączania ochrony, eskalacji uprawnień i omijania mechanizmów self-protection. The Gentlemen upraszcza ten proces, dostarczając spójny zestaw komponentów wraz z warstwą maskowania i standaryzacją działania.

Analiza techniczna

GentleKiller bazuje na technice BYOVD, czyli Bring Your Own Vulnerable Driver. W praktyce oznacza to wykorzystanie legalnie podpisanych, lecz podatnych sterowników albo sterowników o charakterze ofensywnym do wykonywania uprzywilejowanych operacji w jądrze systemu Windows. Taki dostęp może zostać użyty do zatrzymywania procesów bezpieczeństwa, modyfikowania mechanizmów ochronnych oraz obchodzenia zabezpieczeń typu self-defense stosowanych przez EDR i AV.

Według analiz framework występuje w kilku wariantach, z których każdy podszywa się pod inne legalne oprogramowanie i wykorzystuje odmienny sterownik. Wskazywane są komponenty kojarzone z produktami lub sterownikami powiązanymi między innymi z Kaspersky, FACEIT Anti-Cheat, Valorant, Javelin, WatchDog, Network Blocker, Cleaner oraz G11. Najważniejszy jest jednak wspólny szablon deweloperski, który umożliwia szybką wymianę komponentu kernelowego bez przebudowy całego narzędzia.

Na uwagę zasługuje również warstwa maskowania. Próbki używają nazw plików przypominających legalne produkty dostawców bezpieczeństwa, fałszywych informacji o wersjach, skopiowanych certyfikatów oraz ikon mających zwiększyć wiarygodność plików. Tego typu zabiegi utrudniają analizę, spowalniają reakcję i mogą obniżać skuteczność prostszych mechanizmów reputacyjnych.

Szczególnie niepokojąca jest skala kompatybilności frameworka. GentleKiller ma wyszukiwać około 400 procesów związanych z 48 różnymi rozwiązaniami ochronnymi. To sugeruje przygotowanie rozbudowanych list nazw procesów oraz mechanizmów ich terminacji, zoptymalizowanych pod szerokie użycie w środowiskach przedsiębiorstw.

Badacze wskazują również, że grupa może wykorzystywać narzędzia zewnętrzne lub pochodzące z wcześniejszych wycieków, takie jak HexKiller, ThrottleBlood oraz HavocKiller. Taki model zwiększa elastyczność operacyjną i pozwala dobierać ścieżkę obejścia zabezpieczeń do konkretnej konfiguracji celu.

Dodatkowo odnotowano użycie narzędzia do kradzieży danych uwierzytelniających napisanego w Rust, określanego jako OxideHarvest. Malware ten ma pozyskiwać informacje z popularnych przeglądarek internetowych, co wskazuje na łączenie klasycznego ransomware z etapem eksfiltracji danych i wzmacnianiem presji na ofiarę.

Konsekwencje / ryzyko

Największe zagrożenie wynika z połączenia kilku elementów: centralizacji kompetencji ofensywnych, szybkiego wdrażania nowych technik oraz skutecznego obchodzenia ochrony endpointów. W praktyce oznacza to, że samo posiadanie EDR nie daje pełnej gwarancji odporności, jeśli napastnik uzyska odpowiednie uprawnienia i będzie w stanie załadować podatny sterownik.

Ataki wykorzystujące BYOVD są szczególnie groźne w środowiskach Windows, ponieważ uderzają w obszar zaufania związany z jądrem systemu i sterownikami. Po skutecznym wyłączeniu procesów bezpieczeństwa rośnie prawdopodobieństwo wdrożenia szyfratora, przeprowadzenia ruchu bocznego, utrzymania trwałości oraz kradzieży danych bez szybkiego wykrycia.

Dodatkowym problemem jest standaryzacja zestawu narzędzi dla afiliantów. Im prostsze staje się użycie zaawansowanych komponentów ofensywnych, tym większa liczba operatorów o niższych kompetencjach może realizować skuteczne i destrukcyjne ataki. Dla zespołów SOC oznacza to krótsze okno reakcji i większą potrzebę monitorowania sygnałów poprzedzających właściwe szyfrowanie.

Rekomendacje

Organizacje powinny ograniczać możliwość ładowania nieautoryzowanych i podatnych sterowników. W praktyce oznacza to stosowanie list dozwolonych komponentów, monitorowanie zdarzeń związanych z instalacją i uruchamianiem driverów oraz regularne aktualizowanie mechanizmów blokowania znanych podatnych sterowników.

Kluczowe pozostaje także zabezpieczenie kont uprzywilejowanych. Ataki BYOVD zwykle wymagają wysokich uprawnień lokalnych, dlatego niezbędne są zasada najmniejszych uprawnień, separacja kont administracyjnych, ochrona poświadczeń oraz ścisła kontrola narzędzi zdalnej administracji.

Zespoły bezpieczeństwa powinny rozwijać detekcję behawioralną pod kątem następujących sygnałów:

  • prób ładowania nietypowych lub rzadko spotykanych sterowników,
  • nagłego zatrzymywania wielu procesów bezpieczeństwa,
  • zmian w usługach ochronnych i mechanizmach self-protection,
  • uruchamiania binariów podszywających się pod znanych vendorów,
  • obecności narzędzi klasy kill-EDR oraz artefaktów związanych z BYOVD.

Warto także zweryfikować konfigurację mechanizmów ochrony platformowej, w tym kontroli integralności kodu, polityk blokowania sterowników oraz zabezpieczeń rozruchu. Regularne ćwiczenia purple teaming i testy ransomware readiness powinny obejmować scenariusze neutralizacji EDR jeszcze przed fazą szyfrowania.

Nie można też pomijać podstaw odporności operacyjnej. Segmentacja sieci, kopie zapasowe offline, monitoring ruchu bocznego, silne zasady MFA oraz sprawne zarządzanie podatnościami pozostają krytyczne w ograniczaniu skutków działań grup takich jak The Gentlemen.

Podsumowanie

Rozwój GentleKiller pokazuje, że współczesne operacje ransomware coraz bardziej przypominają dojrzałe platformy usługowe. The Gentlemen nie ogranicza się do dostarczania szyfratora, lecz buduje kompletny zestaw narzędzi do osłabiania zabezpieczeń i zwiększania skuteczności afiliantów.

Dla obrońców to wyraźny sygnał, że strategia ochrony musi wykraczać poza klasyczne wykrywanie malware. Kontrola sterowników, ochrona jądra systemu, monitoring prób wyłączania procesów bezpieczeństwa oraz szybka reakcja na techniki obniżające widoczność telemetryczną stają się dziś równie ważne jak same mechanizmy EDR.

Źródła

  1. The Hacker News — The Gentlemen RaaS Uses GentleKiller EDR Framework Targeting 400 Security Processes — https://thehackernews.com/2026/06/the-gentlemen-raas-uses-gentlekiller.html
  2. WeLiveSecurity / ESET Research — źródło analizy technicznej wskazane w publikacji — https://www.welivesecurity.com/
  3. CERT Coordination Center — informacje o ryzykach związanych z Secure Boot i BYOVD — https://www.kb.cert.org/
  4. Huntress — analizy kampanii wykorzystujących sterowniki do wyłączania narzędzi bezpieczeństwa — https://www.huntress.com/
  5. Ransomware.live — dane o aktywności grup ransomware — https://www.ransomware.live/

Nie Sprzedaję Zgodności W Paczce. Po Co Są Szablony Dokumentacji NIS2 I ISO 27001?

Zacznijmy od rzeczy, którą warto powiedzieć od razu.

Jeżeli ktoś mówi Ci, że kupisz paczkę dokumentów i od tego momentu Twoja organizacja jest zgodna z NIS2 albo ISO 27001, to powinieneś bardzo uważać.

To tak nie działa.

Dokumenty same w sobie nie dają zgodności. Nie wdrażają zabezpieczeń. Nie robią analizy ryzyka. Nie testują kopii zapasowych. Nie szkolą zarządu. Nie obsługują incydentów. Nie podejmują decyzji za właścicieli procesów. Nie są też certyfikatem, audytem, opinią prawną ani indywidualnym wdrożeniem w konkretnej organizacji.

Czytaj dalej „Nie Sprzedaję Zgodności W Paczce. Po Co Są Szablony Dokumentacji NIS2 I ISO 27001?”

Mythos Nie Wystarczy. Lekcja Z Cloudflare.

Mythos jednak nie taki wspaniały?

Mythos Preview to jeden z tych tematów, przy których łatwo popaść w skrajności. Jedni widzą początek końca klasycznego pentestingu. Drudzy widzą głównie marketing, PR i kolejną falę zachwytu nad AI. Prawda jest mniej wygodna: Mythos jest wystarczająco mocny, żeby potraktować go bardzo poważnie, ale nie jest magicznym inżynierem bezpieczeństwa, którego można podpiąć do repozytorium i powiedzieć: „znajdź wszystko, co groźne”.

Czytaj dalej „Mythos Nie Wystarczy. Lekcja Z Cloudflare.”

CrowdStrike 2026: AI, Tożsamość I Nowe Ataki

Rok niewidzialnego przeciwnika: czego raport CrowdStrike 2026 uczy o AI, tożsamości i nowych ścieżkach ataku

Zobaczmy, co się dzieje, gdy napastnik nie wrzuca EXE na stację, nie zostawia klasycznego droppera i nie wygląda jak ktoś, kto właśnie „wszedł do środka”. Dzwoni na help desk. Resetuje hasło. Rejestruje urządzenie w chmurze. Przegląda SharePointa. Odpala tymczasową VM-kę w vCenter. A potem szyfruje dane z boku przez SMB albo wyciąga je przez legalny kanał SaaS. Właśnie dlatego raport CrowdStrike 2026 Global Threat Report warto czytać nie jako kolejną publikację „o AI”, tylko jako opis zmiany modelu ataku.

Czytaj dalej „CrowdStrike 2026: AI, Tożsamość I Nowe Ataki”

Dlaczego Raport Dragos 2026 Powinien Obudzić Każdą Firmę Przemysłową

24 dni do exploita

24 dni. Tyle według Dragos wynosiła w 2025 roku mediana czasu od ujawnienia podatności do pojawienia się publicznego exploita. W IT to już mało. W OT/ICS to czas, w którym wiele organizacji dopiero próbuje ustalić, czy patch nie rozwali procesu, czy dostawca dopuści zmianę, i czy w ogóle ktoś ma okno serwisowe w tym kwartale.

Czytaj dalej „Dlaczego Raport Dragos 2026 Powinien Obudzić Każdą Firmę Przemysłową”

Project Glasswing (Anthropic): AI, Które Znajduje I Exploituje Podatności Szybciej Niż Człowiek

Nie chodzi o model. Chodzi o zmianę zasad gry

Jeśli spojrzysz na Project Glasswing jak na kolejny launch modelu AI, przeoczysz sedno. Anthropic nie zrobiło publicznej premiery „nowego Claude’a do cybera”. Zrobiło coś dużo ciekawszego: zamknęło dostęp do modelu, uruchomiło program defensywny z udziałem AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA i Palo Alto Networks, rozszerzyło dostęp na ponad 40 kolejnych organizacji utrzymujących krytyczne oprogramowanie, dorzuciło do 100 mln USD kredytów oraz zapowiedziało publiczny raport z wnioskami i poprawkami w ciągu 90 dni. To nie wygląda jak marketing produktu. To wygląda jak zarządzanie ryzykiem wokół capability, które zaczynają mieć znaczenie systemowe dla bezpieczeństwa software’u.

Czytaj dalej „Project Glasswing (Anthropic): AI, Które Znajduje I Exploituje Podatności Szybciej Niż Człowiek”