De ransomwaregroep The Gentlemen heeft zijn affiliates toegang gegeven tot geavanceerde tools die veelgebruikte enterprise endpoint detectie- en responsproducten (EDR) succesvol kunnen uitschakelen, zo blijkt uit onderzoek van beveiligingsbedrijf ESET. Sinds de oprichting vorig jaar is The Gentlemen uitgegroeid tot een van de meest succesvolle ransomware-as-a-service (RaaS) platforms, mede dankzij een aantrekkelijk verdienmodel waarbij affiliates 90 procent van de opbrengst ontvangen.

In mei werden de servers van The Gentlemen gehackt door een onbekende aanvaller, waarna gelekte materialen door onderzoekers werden geanalyseerd. Uit deze analyse blijkt dat het platform een eigen framework voor EDR-killers heeft ontwikkeld, genaamd 'GentleKiller'. Dit framework stelt affiliates in staat om zonder eigen ontwikkeling gebruik te maken van diverse geavanceerde routines om EDR-beveiliging te omzeilen. Daarnaast integreert The Gentlemen bekende externe tools zoals HexKiller, ThrottleBlood en HavocKiller.

Volgens ESET-onderzoeker Jakub Souček heeft deze aanpak de toegang tot EDR-killermogelijkheden gedemocratiseerd, waardoor ook minder ervaren affiliates effectief aanvallen kunnen uitvoeren. Het framework ondersteunt acht varianten en maakt gebruik van zogenoemde bring your own vulnerable driver (BYOVD) technieken. Hierbij wordt een kwetsbare, maar legitieme driver geladen om kernelrechten te verkrijgen, waarmee EDR-processen van 48 verschillende leveranciers kunnen worden uitgeschakeld. Deze methode vergroot de macht van aanvallers aanzienlijk, doordat zij na het verkrijgen van beheerdersrechten via een accountovername ook op kernelniveau controle krijgen.

De kwetsbaarheid van EDR-tools voor deze nieuwe generatie ontwijkingstechnieken is al langer bekend. Zo toonde een studie van beveiligingsbedrijf Trellix in 2024 deze zwakte aan, en rapporteerde Huntress eerder dit jaar een geval waarin BYOVD werd ingezet om een oude kwetsbare driver te laden en EDR te neutraliseren. Souček benadrukt dat het grootste probleem is dat EDR-killers afhankelijk zijn van kwetsbare, niet-malafide drivers die vaak nog legitiem worden gebruikt. Om zich hiertegen te beschermen, adviseert hij organisaties om beveiligingen zoals Hypervisor-Protected Code Integrity (HVCI) en Kernel-mode Code Integrity (KMCI) te implementeren en strikte toegangsregels voor drivers te hanteren.