🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ransomware como serviço (RaaS) Gentlemen está desenvolvendo e mantendo ativamente um conjunto de assassinos de detecção e resposta de endpoint (EDR) para ajudar os afiliados a evitar a detecção em ataques.
A gangue emprega uma coleção de ferramentas para matar EDR, principalmente um utilitário que os pesquisadores apelidaram de GentleKiller. A ferramenta tem pelo menos oito variantes e representa vários produtos de segurança legítimos, incluindo Kaspersky, Valorant, Javelin e WatchDog.
A gangue está usando um conjunto de assassinos EDR, sendo o mais frequentemente usado uma ferramenta personalizada que os pesquisadores chamaram de GentleKiller, que tem pelo menos oito variantes que representam vários produtos legítimos.
Um assassino EDR é normalmente usado para desativar as defesas nas fases iniciais de um ataque e, em incidentes de ransomware, eles garantem que o roubo de dados ou os processos de criptografia sejam executados sem restrições.
Essas ferramentas funcionam aproveitando a técnica “traga seu próprio driver vulnerável” (BYOVD) para elevar privilégios e desabilitar mecanismos de segurança.
De acordo com os pesquisadores da ESET, cada variante do GentleKiller usa diferentes drivers vulneráveis para obter privilégios no nível do kernel. No entanto, todos eles compartilham strings comuns, técnicas de ofuscação de código idênticas e lógica de eliminação de processos e escopo de direcionamento semelhantes.
A análise das variantes indica que a estrutura foi projetada para permitir trocas fáceis de drivers ou armar falhas recentemente divulgadas sem exigir grandes alterações de código.
Nomes de variantes e drivers usadosFonte: ESET
A ESET afirma que o GentleKiller tem como alvo mais de 400 processos associados a aproximadamente 48 fornecedores/produtos de segurança, como Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix e Kaspersky.
Processo GentleKillerFonte: ESET
Os binários da ferramenta EDR killer são protegidos pelas ferramentas comerciais de empacotamento e proteção de código Enigma e Themida. A ESET observa que o autor da ameaça também usa assinaturas digitais roubadas de software legítimo, embora sejam inválidas.
Embora GentleKiller seja uma ferramenta padronizada usada em ataques de ransomware Gentlemen, a ESET relata que a coleção de assassinos EDR do grupo de ameaças também incorpora pelo menos três ferramentas externas:
HexKiller, anteriormente usado pela gangue Warlock
ThrottleBlood, ligado aos ataques MesudaLocker e DragonForce
HavocKiller, também visto em operações de ransomware
Gentleman RaaS pode tê-los adicionado para redundância, complexidade de atribuição ou para uso em casos específicos onde a eficácia do GentleKiller pode ser limitada.
Além disso, a ESET documentou o uso do OxideHarvest, uma ferramenta de roubo de credenciais baseada em Rust que os pesquisadores acreditam, com base na escolha da linguagem de programação, ter sido desenvolvida externamente.
A análise dos pesquisadores indica que o ransomware Gentlemen escolhe os alvos com base na configuração de seus endpoints FortiGate. Isto é particularmente interessante dada a recente descoberta do “FortiBleed”, uma coleção de quase 74.000 credenciais VPN FortiGate.
O Gentlemen RaaS comprometeu anteriormente o fornecedor de energia romeno Oltenia e foi vinculado a um botnet de malware proxy SystemBC com mais de 1.570 hosts, que se acredita serem vítimas corporativas.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
A gangue emprega uma coleção de ferramentas para matar EDR, principalmente um utilitário que os pesquisadores apelidaram de GentleKiller. A ferramenta tem pelo menos oito variantes e representa vários produtos de segurança legítimos, incluindo Kaspersky, Valorant, Javelin e WatchDog.
A gangue está usando um conjunto de assassinos EDR, sendo o mais frequentemente usado uma ferramenta personalizada que os pesquisadores chamaram de GentleKiller, que tem pelo menos oito variantes que representam vários produtos legítimos.
Um assassino EDR é normalmente usado para desativar as defesas nas fases iniciais de um ataque e, em incidentes de ransomware, eles garantem que o roubo de dados ou os processos de criptografia sejam executados sem restrições.
Essas ferramentas funcionam aproveitando a técnica “traga seu próprio driver vulnerável” (BYOVD) para elevar privilégios e desabilitar mecanismos de segurança.
De acordo com os pesquisadores da ESET, cada variante do GentleKiller usa diferentes drivers vulneráveis para obter privilégios no nível do kernel. No entanto, todos eles compartilham strings comuns, técnicas de ofuscação de código idênticas e lógica de eliminação de processos e escopo de direcionamento semelhantes.
A análise das variantes indica que a estrutura foi projetada para permitir trocas fáceis de drivers ou armar falhas recentemente divulgadas sem exigir grandes alterações de código.
Nomes de variantes e drivers usadosFonte: ESET
A ESET afirma que o GentleKiller tem como alvo mais de 400 processos associados a aproximadamente 48 fornecedores/produtos de segurança, como Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix e Kaspersky.
Processo GentleKillerFonte: ESET
Os binários da ferramenta EDR killer são protegidos pelas ferramentas comerciais de empacotamento e proteção de código Enigma e Themida. A ESET observa que o autor da ameaça também usa assinaturas digitais roubadas de software legítimo, embora sejam inválidas.
Embora GentleKiller seja uma ferramenta padronizada usada em ataques de ransomware Gentlemen, a ESET relata que a coleção de assassinos EDR do grupo de ameaças também incorpora pelo menos três ferramentas externas:
HexKiller, anteriormente usado pela gangue Warlock
ThrottleBlood, ligado aos ataques MesudaLocker e DragonForce
HavocKiller, também visto em operações de ransomware
Gentleman RaaS pode tê-los adicionado para redundância, complexidade de atribuição ou para uso em casos específicos onde a eficácia do GentleKiller pode ser limitada.
Além disso, a ESET documentou o uso do OxideHarvest, uma ferramenta de roubo de credenciais baseada em Rust que os pesquisadores acreditam, com base na escolha da linguagem de programação, ter sido desenvolvida externamente.
A análise dos pesquisadores indica que o ransomware Gentlemen escolhe os alvos com base na configuração de seus endpoints FortiGate. Isto é particularmente interessante dada a recente descoberta do “FortiBleed”, uma coleção de quase 74.000 credenciais VPN FortiGate.
O Gentlemen RaaS comprometeu anteriormente o fornecedor de energia romeno Oltenia e foi vinculado a um botnet de malware proxy SystemBC com mais de 1.570 hosts, que se acredita serem vítimas corporativas.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #gentlemen #ransomware #usa #vários #assassinos #de #edr #para #desativar #as #defesas
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário