Ένα νέο, εξελιγμένο πλαίσιο εξολόθρευσης EDR υπό την ονομασία GentleKiller έχει τραβήξει την προσοχή λόγω της χρήσης του από τη συμμορία Gentlemen, η οποία δραστηριοποιείται στο ransomware-as-a-service (RaaS). Η τεχνολογία αυτή χρησιμοποιείται για να αποδυναμώσει τα συστήματα ασφάλειας, καθιστώντας τα ανυπεράσπιστα πριν την εγκατάσταση του κακόβουλου λογισμικού.
Σύμφωνα με την έρευνα της ESET που δημοσιεύθηκε στις 17 Ιουνίου 2026, η συμμορία Gentlemen έχει εξελιχθεί σε έναν από τους πιο δραστήριους παίκτες στον τομέα του ransomware κατά το πρώτο τρίμηνο του 2026. Θέτει στη διάθεση των συνεργατών της μια κεντρική σουίτα εξολόθρευσης EDR, κάτι που είναι ασυνήθιστο για τη βιομηχανία του ransomware.
Το GentleKiller περιλαμβάνει τουλάχιστον οκτώ παραλλαγές, καθένας από τις οποίες προσποιείται ότι είναι ένα νόμιμο λογισμικό ασφάλειας, εκμεταλλευόμενο ταυτόχρονα μία ή περισσότερες ευπάθειες σε προγράμματα οδήγησης σε επίπεδο πυρήνα.
Η μέθοδος που χρησιμοποιείται είναι γνωστή ως Bring Your Own Vulnerable Driver (BYOVD), η οποία φορτώνει ένα νόμιμα υπογεγραμμένο αλλά ευάλωτο πρόγραμμα οδήγησης, καταργώντας τις διαδικασίες ασφαλείας σε επίπεδο πυρήνα και παρακάμπτοντας τις προστασίες στο επίπεδο χρήστη.
Ο GentleKiller στοχεύει συνολικά πάνω από 400 διαδικασίες, οι οποίες σχετίζονται με 48 προϊόντα ασφαλείας, ανάμεσα στα οποία περιλαμβάνονται γνωστά ονόματα όπως τα Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Palo Alto Networks, ESET, Bitdefender, Kaspersky και McAfee/Trellix.
Η λειτουργία του πλαισίου διεξάγεται σε έναν βρόχο, ελέγχοντας περιοδικά και τερματίζοντας στοχευμένες διαδικασίες κάθε δύο δευτερόλεπτα, όπως αποδεικνύεται από την σχετική έξοδο που παρουσιάζεται παρακάτω.
Οι παραλλαγές του GentleKiller εκμεταλλεύονται προγράμματα οδήγησης από εταιρείες όπως η Kaspersky (eb.sys), το FACEIT Anti-Cheat (nseckrnl.sys), η Brave (GameDriverX64.sys), η Javelin/Safetica (stpm_old.sys/stpm_new.sys), η Zemana WatchDog (dmx.sys), η Qihoo 360 (360netmon_wfp.sys), η IObit (IMFForceDelete) και το rootkit PoisonX.
Ένα από τα σημαντικά χαρακτηριστικά της συμμορίας Gentlemen είναι η ταχύτητα με την οποία εκμεταλλεύεται πρόσφατα δημοσιευμένα BYOVD exploits, ενεργοποιώντας τα εντός ημερών από την δημόσια κυκλοφορία τους.
Εργαλεία όπως το UnknownKiller και το PoisonKiller έχουν ενσωματωθεί στο οπλοστάσιο του GentleKiller μόλις λίγες ημέρες μετά την αποκάλυψή τους στο GitHub, γεγονός που δείχνει την αναπτυξιακή τους ικανότητα και την οργάνωσή τους, όπως αναφέρει η ESET.
Η γρήγορη αυτάρκεια είναι κάτι που διαχωρίζει τους Gentlemen από άλλες ομάδες RaaS, οι οποίες συνήθως απαιτούν περισσότερει απο εβδομάδες ή μήνες για να προσαρμόσουν δημόσια εκμεταλλεύματα.
Ενσωματωμένα Εργαλεία Εξολόθρευσης EDR
Πέρα από το GentleKiller, οι Gentlemen έχουν ενσωματώσει και τρία εξωτερικά εργαλεία εξολόθρευσης EDR:
- HexKiller — Είχε αποδοθεί παλαιότερα στη συμμορία Warlock και εκμεταλλεύεται το πρόγραμμα οδήγησης Baidu Antivirus BdApi (
googleApiUtil64.sys). - ThrottleBlood — Χρησιμοποιήθηκε σε επιθέσεις των MedusaLocker και DragonForce και εκμεταλλεύεται το πρόγραμμα οδήγησης TechPowerUp LLC (
ThrottleBlood.sys). - HavocKiller — Αποκαλύφθηκε δημόσια από την Huntress στις 19 Μαρτίου 2026 αλλά είχε ήδη εμφανιστεί σε επιθέσεις από τις 23 Ιανουαρίου 2026 και εκμεταλλεύεται το πρόγραμμα οδήγησης Huawei Audio (
havoc.sys).
Και τα τρία εργαλεία έχουν ένα κοινό επίπεδο άμυνας που χρησιμοποιεί δυαδικά προστατευτικά τύπου Enigma ή Themida, προσποιούνται έγκυρους προμηθευτές ασφαλείας μέσω κατασκευασμένων πληροφοριών έκδοσης, ψηφιακών υπογραφών και εικονιδίων.
Η συμμορία Gentlemen εφαρμόζει στρατηγικές για την αποφυγή ανίχνευσης σε επίπεδο μεταγλωττισμένων δυαδικών αρχείων, εξασφαλίζοντας ακόμα και την προστασία εργαλείων ΕDR για τα οποία δεν κατέχει τον πηγαίο κώδικα. Αυτή η προσέγγιση είναι προκλητική για τις επιδόσεις, καθώς τα εργαλεία που προέρχονται από διαφορετικές ομάδες ransomware είναι σχεδόν πανομοιότυπα στο σύστημα του Gentlemen.
Η συμμορία χρησιμοποιεί επίσης το OxideHarvest, έναν κλέφτη διαπιστευτηρίων γραμμένο σε Rust, που συλλέγει δεδομένα από παραβιασμένα συστήματα.
Η κομβική θέση τους στο τοπίο του RaaS εμφανίζεται στα τέλη του 2025 και έχουν γρήγορα αναδειχθεί σε μία από τις πέντε πιο ενεργές συμμορίες ransomware εντός του πρώτου τριμήνου του 2026.
Σε αντίθεση με άλλες μεγάλες συμμορίες που επικεντρώνονται κυρίως σε στόχους στις Η.Π.Α., οι Gentlemen επιλέγουν στοχευμένα στόχους στην Νοτιοανατολική Ασία, τη Νότια Αμερική και τη Δυτική Ευρώπη, εστιάζοντας στις παραβιασμένες ρυθμίσεις του FortiGate.
Μια εσωτερική διαρροή τον Μάιο του 2026 αποκάλυψε ότι οι χειριστές της συμμορίας συνεχίζουν να αναπτύσσουν, να συντηρούν και να διανέμουν ενεργά το GentleKiller σε ελεγμένες θυγατρικές.
Η Gentlemen προσφέρει ένα εξαιρετικά ελκυστικό μερίδιο εσόδων 90% στις θυγατρικές της, διευκολύνοντας την πρόσληψη νέων συνεργατών.
Οι ομάδες ασφαλείας καλούνται να προσαρμόσουν τις λίστες επιτρεπόμενων προγραμμάτων οδήγησης και να υιοθετήσουν τις απαγορεύσεις ευάλωτων προγραμμάτων οδήγησης της Microsoft για την αποφυγή επιθέσεων BYOVD. Είναι επίσης κρίσιμη η παρακολούθηση των ενεργειών που σχετίζονται με το GentlemenCollection και των ανώμαλων γεγονότων φόρτωσης προγράμματος οδήγησης.
Η παρακολούθηση παρόμοιων μοτίβων τερματισμού διαδικασιών, κυρίως στην κατηγορία λογισμικού ασφάλειας, προσφέρει μία από τις πιο αξιόπιστες συνθήκες ανίχνευσης της συμπεριφοράς του GentleKiller και των παραλλαγών του.
## Η άποψη του TechNoid.gr
Η δραστηριότητα των Gentlemen αποτελεί μεγάλες προκλήσεις για την ασφάλεια, και η ταχύτητα με την οποία υιοθετούν νέα exploits είναι πρωτοφανής. Η συμμορία αυτή δείχνει να έχει οργανωθεί έξυπνα, εκμεταλλευόμενη κενά και αδυναμίες των συστημάτων ασφάλειας. Η σημασία της είδησης έγκειται στην ανάγκη των οργανισμών να κάνουν συνεχείς αναβαθμίσεις και να υιοθετούν καλύτερες πρακτικές για την προστασία των δεδομένων τους. Εν αναμονή των επόμενων κινήσεων τους, οι ομάδες ασφαλείας θα πρέπει να βρουν νέες στρατηγικές για να καταπολεμήσουν τέτοιες προηγμένες απειλές.
