Il gruppo ransomware The Gentlemen, attivo nel modello ransomware as a service, sta investendo in modo aggressivo in strumenti dedicati a disattivare le difese prima della cifratura. Il punto chiave della strategia è una suite di EDR killer consegnata agli affiliati per terminare processi di sicurezza e ridurre la probabilità di rilevamento durante la fase di intrusione e movimento laterale.
Il framework centrale si chiama GentleKiller ed è descritto come un insieme maturo di varianti progettate per colpire in modo sistematico i controlli di endpoint detection and response. Un aspetto rilevante è l’uso di tecniche di evasione standardizzate, con file e componenti che imitano prodotti legittimi di vendor di cybersecurity. Questa imitazione include informazioni di versione credibili, firme digitali, icone e certificati copiati, elementi che possono ingannare controlli superficiali e rallentare l’analisi.
GentleKiller risulta disponibile in otto varianti, ognuna associata a un driver vulnerabile o malevolo, sfruttato con la tecnica BYOVD (bring your own vulnerable driver). In pratica gli attaccanti caricano un driver con vulnerabilità note per ottenere capacità privilegiate e terminare o manomettere i processi di sicurezza. Nel caso specifico, il framework cerca circa 400 processi legati a 48 strumenti di sicurezza differenti, aumentando la compatibilità con ambienti eterogenei tipici di aziende e pubbliche amministrazioni.
Tra i driver citati compaiono componenti associati a prodotti e contesti diversi, inclusi anti-cheat e utility di sistema, a conferma di una selezione opportunistica di driver sfruttabili. Inoltre il gruppo integra anche strumenti di terze parti o trapelati, come HexKiller, ThrottleBlood e HavocKiller, mantenendo una base comune di evasione e distribuzione per semplificare l’uso da parte degli affiliati.
La rapidità operativa è un altro elemento critico: il gruppo sarebbe in grado di trasformare rapidamente proof of concept pubblici in strumenti utilizzabili in attacco, spesso in pochi giorni. Questo riduce la finestra di tempo utile per la difesa basata su patching e hardening.
Nel contesto più ampio, emergono anche rischi collegati alla catena di avvio e alle applicazioni UEFI firmate, dove aggiornamenti della lista di revoca DBX possono diventare essenziali per mitigare bypass di Secure Boot.