Slovenská kyberbezpečnostní společnost ESET, která má početné výzkumné a vývojové kapacity v Česku, analyzovala nástroje jedné z nejaktivnějších hackerských skupin zaměřených na ransomware. Jde o organizaci Gentlemen poskytující software pro obcházení zabezpečení, jde o takzvané EDR killery. Gentlemen operují také v České republice.
Skupina funguje jako ransomware-as-a-service a nabízí ransomware k pronájmu. Svým klientům nabízí podíl 90 procent ze zisků v rámci provedených operací. Gang se objevil koncem roku 2025.
Gentlemen poskytují vlastní nástroje označované jako GentleKiller. Jakub Souček, vedoucí výzkumného týmu v pražské pobočce ESETu, který se specializuje na monitorování mezinárodní kriminality, publikoval rozsáhlou technickou analýzu.
“Útočníci ze skupiny Gentlemen se od ostatních velkých hráčů odlišují. Jednou z těchto odlišností je jejich ochota poskytnout svým partnerům několik nástrojů k různým účelům – kromě nástroje pro šifrování také nástroje k obcházení EDR. Výběr cílů většinou zajišťují partneři gangů, přičemž u ostatních velkých ransomwarových gangů převažuje jeden vzorec, a to výrazné a dlouhodobé zacílení na oběti v USA. Tyto oběti často tvoří přibližně polovinu všech zveřejněných obětí útoků ransomwarem. Gentlemen jsou opět výraznou výjimkou. Ačkoli se za první čtvrtletí letošního roku řadí mezi pět nejaktivnějších ransomwarových skupin, cílí konzistentně na oběti napříč širokým a geograficky různorodým spektrem zemí. Významná část obětí pochází z regionů, jako jsou jihovýchodní Asie, Jižní Amerika a západní Evropa, podle informací bezpečnostních expertů ale gang operuje také v Česku,” informoval ESET.
“Skupina dále také využívá nástroje, které jí poskytují třetí strany nebo uniknou na dark web. Jde například o nástroje, které ESET označuje jako HexKiller, ThrottleBlood a HavocKiller. Všechny EDR killery skupiny Gentlemen, ať už vyvinuté či získané odjinud, spojuje společná strategie, jak uniknout pozornosti obránců. Útočníci je vydávají převážně za legitimní bezpečnostní software pomocí falešných informací, jako jsou verze programu či kopie certifikátů a ikon,” shrnula dále firma.
“Útočníci z gangu Gentlemen zároveň dokážou neobvykle rychle uvést do praxe postupy, které bývají do té doby jen tzv. proof of concept, a to v řádech několika dnů od jejich zveřejnění. Často se jedná o scénáře typu Bring Your Own Vulnerable Driver, útok pomocí zranitelného či škodlivého ovladače. Kromě nástrojů, které vypínají EDR, experti identifikovali také nástroj určený ke krádeži přihlašovacích údajů, který nazvali OxideHarvest, a za jehož vývojem stojí jeden z partnerů gangu Gentlemen,” doplnil ESET.
ESET zatím identifikoval osm odlišných variant systému GentleKiller. Každý se vydává za jiný legitimní program a zneužívá odlišný zranitelný nebo škodlivý ovladač.
ČLÁNKY DO MAILU