La operación Gentlemen ransomware-as-a-service (RaaS) está desarrollando y manteniendo activamente un conjunto de asesinos de detección y respuesta de puntos finales (EDR) que entrega a los afiliados para que deterioren las defensas del sistema antes de implementar el cifrado.
Esta cartera madura de herramientas de terminación de EDR se centra en un marco conocido como gentil asesino.
«También incorporan herramientas de terceros o filtradas como HexKiller, ThrottleBlood y HavocKiller», dijo el investigador de seguridad de ESET, Jakub Souček, en un informe compartido con The Hacker News. «Estas herramientas están estandarizadas a través de una capa de evasión de defensa compartida, haciéndose pasar predominantemente por proveedores de seguridad que utilizan información de versión falsa y certificados e íconos legítimos copiados».
La compañía eslovaca de ciberseguridad también criticó al equipo de ransomware por su capacidad para «poner en funcionamiento inusualmente rápido» exploits de prueba de concepto (PoC) recientemente revelados relacionados con una técnica de ataque llamada técnica de «traiga su propio controlador vulnerable» (BYOVD), en muchos casos a los pocos días de su lanzamiento público.
Desde su aparición en marzo de 2025, The Gentlemen ha ascendido rápidamente de rango y se ha hecho un nombre como uno de los grupos de ransomware más activos. Según datos de Ransomware.live, el grupo se ha cobrado 504 víctimas hasta la fecha, la mayoría de ellas ubicadas en el sudeste asiático, América del Sur y Europa occidental.
Informes recientes del periodista de ciberseguridad Brian Krebs y PRODAFT han revelado que un ciudadano ruso de 36 años llamado Alexander Andreevich Yapaev (alias hastalamuerte) ha estado liderando la operación, después de actuar como afiliado de otros esquemas de ransomware, incluido Qilin.
ESET ha descrito a The Gentlemen como uno de los grupos RaaS técnicamente más ágiles, utilizando un conjunto de técnicas para garantizar que las muestras asesinas de EDR compiladas eviten la detección. Esto incluye protección binaria usando Enigma o Themida y el uso de nombres de archivos que se asemejan a proveedores de ciberseguridad conocidos, hasta la información de su versión, firmas digitales e íconos.
El más frecuente de ellos es GentleKiller, que viene en ocho variantes diferentes, cada una de las cuales imita un producto legítimo diferente y abusa de un controlador vulnerable o malicioso diferente como parte del ataque BYOVD. GentleKiller busca específicamente 400 procesos asociados con 48 programas de seguridad distintos de varios proveedores.
La lista de controladores explotados por cada una de las variantes es la siguiente:
- Kaspersky («eb.sys»)
- FACEIT Anti-Cheat («nseckrnl.sys»)
- Valorante («GameDriverX64.sys»)
- Javelin («stpm_old.sys» o «stpm_new.sys»)
- Perro guardián («dmx.sys»)
- Bloqueador de red («360netmon_wfp.sys»)
- Limpiador («IMFForceDelete.sys»)
- G11 («PoisonX.sys»)
Vale la pena señalar que el abuso de «PoisonX.sys» se ha registrado en los últimos meses en relación con varios ataques BYOVD, uno de los cuales se utilizó para matar a CrowdStrike Falcon EDR. Una segunda campaña, detallada por Huntress, involucró una intrusión en la que actores de amenazas desconocidos aprovecharon BeyondTrust Remote Support para implementar con éxito ransomware en la red, no sin antes cancelar las herramientas de seguridad a través de «PoisonX.sys» y «hrwfpdrv.sys».
«Al abstraer la capa de suplantación y los controladores específicos utilizados, el código subyacente revela numerosos puntos en común estructurales y de comportamiento que sugieren fuertemente el uso de una plantilla de desarrollo compartida», dijo Souček.
«Este diseño prioriza la facilidad de implementación y la flexibilidad operativa para los afiliados, al tiempo que minimiza el esfuerzo de desarrollo para los operadores. Permite a los operadores de The Gentlemen integrar controladores maltratados en su conjunto de herramientas muy poco después de que se revela una PoC asesina de EDR».
Los asesinos de EDR externos basados en BYOVD empleados por el grupo se encuentran a continuación:
- HexKiller («googleApiUtil64.sys»), una herramienta que anteriormente se suponía era exclusiva de la banda de ransomware Warlock
- ThrottleBlood («ThrottleBlood.sys»), una herramienta observada en ataques organizados por afiliados de MedusaLocker y DragonForce
- HavocKiller o HwAudKiller («havoc.sys»)
ESET dijo que también detectó un ladrón de credenciales basado en Rust con nombre en código OxideHarvest (también conocido como buildx641) que es capaz de recopilar datos de navegadores web populares, incluidos Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk y IceCat.
«Si bien la mayoría de las bandas de ransomware continúan delegando la eliminación de EDR a sus afiliados, Gentlemen ha optado por centralizar esta función ofreciendo a los afiliados una suite de eliminación de EDR estandarizada y lista para usar», dijo ESET. «Esta decisión convierte a Gentlemen en un operador atractivo para los afiliados, ya que reduce sustancialmente la barrera de entrada para ellos y, en consecuencia, facilita su trabajo».
La divulgación se produce cuando el Centro de Coordinación CERT (CERT/CC) emitió un aviso sobre múltiples aplicaciones UEFI firmadas por proveedores que son vulnerables a la omisión de arranque seguro a través de un ataque BYOVD. Al investigador de ESET, Martin Smolár, se le atribuye la investigación y el informe de la vulnerabilidad. Las aplicaciones afectadas son de Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba y Uniwill.
«Si un sistema objetivo confía en el certificado del proveedor afectado, un atacante (con privilegios administrativos o acceso físico) puede explotar estas aplicaciones para ejecutar código arbitrario durante la fase inicial previa al arranque antes de que se inicialice el sistema operativo», dijo CERT/CC.
«Para mitigar este riesgo, los administradores del sistema deben aplicar actualizaciones a la base de datos de firmas prohibidas (DBX) UEFI que revoquen la confianza en los archivos binarios firmados por el proveedor afectados, evitando que estas aplicaciones vulnerables se ejecuten durante el proceso de arranque».