Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
La operación de ransomware como servicio Gentlemen mantiene una avanzada colección de herramientas para la eliminación de detección y respuesta en endpoint, destinadas a deshabilitar o debilitar productos de seguridad. Este arsenal incluye el marco GentleKiller del grupo, así como utilidades de terceros integradas como HexKiller y HavocKiller. Los operadores siguen un modelo de evasión consistente basado en la protección de binarios y en la suplantación de proveedores para evadir los controles defensivos.
Investigación
Investigadores de ESET llevaron a cabo una investigación de varios meses que fue fortalecida por una filtración de datos de mayo de 2026 vinculada al grupo Gentlemen. Su análisis conectó varias herramientas que deshabilitan EDR al flujo operativo más amplio de la banda y verificó la presencia del marco GentleKiller. La investigación también confirmó que el grupo depende de técnicas de Lleva Tu Propio Controlador Vulnerable (BYOVD) para obtener privilegios elevados y evadir las defensas del endpoint.
Mitigación
Las organizaciones deben implementar un monitoreo fuerte para la carga de controladores a fin de identificar la instalación no autorizada o vulnerable de controladores asociada con la actividad BYOVD. Fortalecer las configuraciones de los endpoints para bloquear la ejecución de controladores no firmados o mal firmados es esencial. Los equipos de seguridad también deben vigilar bucles sospechosos de terminación de procesos y rutas de puesta en escena inusuales como GentlemenCollection, que pueden proporcionar una señal temprana de preparación de ataque.
Respuesta
Si se detecta esta actividad, los respondedores deben aislar inmediatamente los endpoints afectados para detener el abuso adicional basado en controladores. Se debe llevar a cabo una revisión completa de los servicios del sistema y controladores en modo kernel para localizar y eliminar componentes maliciosos o vulnerables. Los equipos también deben investigar el posible robo de credenciales auditando el acceso a datos del navegador y revisando las conexiones salientes no autorizadas desde binarios desconocidos basados en Rust.
"graph TB %% Class Definitions Section classDef tool fill:#cccccc classDef action fill:#99ccff classDef technique fill:#ff9999 %% Node Definitions for Phase 1: Defense Impairment tool_gentlekiller["<b>Herramienta</b>: GentleKiller<br/><b>Descripción</b>: Marco interno utilizado para<br/>interrumpir software de seguridad a través de privilegios a nivel de kernel."] class tool_gentlekiller tool tool_thirdparty["<b>Herramientas</b>: HexKiller, ThrottleBlood, HavocKiller<br/><b>Descripción</b>: Herramientas de terceros utilizadas para<br/>terminar software de seguridad."] class tool_thirdparty tool action_byovd["<b>Acción</b>: Lleva Tu Propio Controlador Vulnerable (BYOVD)<br/><b>Técnica</b>: T1543.004<br/><b>Descripción</b>: Instalación de controladores vulnerables como<br/>eb.sys, nseckrnl.sys o stpm_new.sys para<br/>obtener privilegios a nivel de kernel."] class action_byovd technique action_terminate_edr["<b>Acción</b>: Terminar Procesos de Seguridad<br/><b>Descripción</b>: Disrupción de soluciones EDR y Antivirus<br/>incluyendo ESET, Microsoft Defender y CrowdStrike."] class action_terminate_edr action %% Node Definitions for Phase 2: Stealth and Masquerading action_obfuscation["<b>Acción</b>: Protección de Binarios y Suplantación<br/><b>Técnica</b>: T1036.005<br/><b>Descripción</b>: Uso de Enigma o Themida para proteger binarios<br/>y aplicación de información de versión falsa, iconos y<br/>firmas digitales inválidas para imitar a los proveedores."] class action_obfuscation technique %% Node Definitions for Phase 3: Credential Access tool_oxideharvest["<b>Herramienta</b>: OxideHarvest<br/><b>Descripción</b>: Robador de credenciales basado en Rust que se dirige a<br/>los datos del usuario en navegadores web."] class tool_oxideharvest tool action_credential_access["<b>Acción</b>: Exfiltración de Credenciales<br/><b>Técnica</b>: T1555<br/><b>Descripción</b>: Acceso y exfiltración de credenciales de<br/>Google Chrome, Microsoft Edge y Mozilla Firefox."] class action_credential_access action %% Connections and Attack Flow tool_gentlekiller –>|ejecuta| action_byovd tool_thirdparty –>|ejecuta| action_byovd action_byovd –>|lleva_a| action_terminate_edr action_terminate_edr –>|habilita| action_obfuscation action_obfuscation –>|facilita| tool_oxideharvest tool_oxideharvest –>|realiza| action_credential_access "
Flujo de Ataque
Detecciones
Ejecución de Simulación
Prerrequisito: El chequeo preliminar de telemetría y línea base debe haber sido aprobado.
Razón: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.
-
Narrativa de Ataque y Comandos: El adversario apunta a deshabilitar el agente EDR local para facilitar actividades posteriores a la explotación. Para evadir la detección, utilizan el marco «GentleKiller», que ha sido modificado para renombrar su ejecutable a
acronis_agent.exe. Al hacerse pasar por un servicio de respaldo legítimo, el atacante espera mezclarse con el ruido de los procesos administrativos estándar. El atacante ejecuta el binario renombrado con el--helpbandera para probar su funcionalidad en el entorno actual. -
Script de Prueba de Regresión:
# Simulación de GentleKiller haciéndose pasar por Acronis Agent $TargetDir = "$env:TEMPGentleKillerSim" New-Item -ItemType Directory -Path $TargetDir -Force | Out-Null # Crear un ejecutable de prueba para simular el binario malicioso $DummyExe = Join-Path $TargetDir "acronis_agent.exe" New-Item -ItemType File -Path $DummyExe -Force | Out-Null # En un escenario real, este sería el binario real de GentleKiller. # Para la simulación, activamos la lógica de detección al convocar un proceso # que coincida con el nombre del archivo y el patrón de línea de comando. # Nota: Como no podemos ejecutar un verdadero killer de EDR, usamos cmd para simular la firma de telemetría. Start-Process "cmd.exe" -ArgumentList "/c echo simulating_gentlekiller > $DummyExe && acronis_agent.exe --help" -WindowStyle Hidden # Para asegurar que la regla de detección (que busca el nombre de imagen específico) # se active en un SIEM real, la telemetría debe mostrar 'acronis_agent.exe' # en el campo de Imagen. -
Comandos de Limpieza:
# Eliminar el directorio y los archivos maliciosos simulados Remove-Item -Path "$env:TEMPGentleKillerSim" -Recurse -Force