The Gentlemen rüsten Affiliates mit EDR-Killern aus : RaaS-Gruppe nutzt GentleKiller gegen 400 Sicherheitsprozesse
Die Ransomware-Gruppe The Gentlemen professionalisiert die Ausschaltung von Schutzsoftware. Statt Affiliates eigene Werkzeuge suchen zu lassen, liefert sie eine standardisierte Suite von EDR-Killern aus. Im Zentrum steht GentleKiller, ein Framework für Angriffe per verwundbarem Treiber.
The Gentlemen zählt seit März 2025 zu den aktivsten Ransomware-as-a-Service-Gruppen (RaaS). Nach Daten von Ransomware.live reklamiert die Gruppe bisher 504 Opfer für sich, vor allem in Südostasien, Südamerika und Westeuropa. Neue Analysen von ESET zeigen nun, wie stark die Gruppe ihre technische Vorarbeit zentralisiert: Affiliates erhalten nicht nur den Verschlüsseler, sondern auch eine gepflegte Sammlung von Werkzeugen, um Sicherheitssoftware vor dem eigentlichen Angriff auszuschalten.
Im Zentrum der Werkzeug-Sammlung steht GentleKiller. Das Framework soll Sicherheitsprogramme auf infizierten Systemen gezielt ausschalten, bevor die eigentliche Ransomware ausgeführt wird. Gemeint sind vor allem Lösungen für Endpoint Detection and Response (EDR). Solche Systeme überwachen Endgeräte, erkennen verdächtiges Verhalten und können Angriffe automatisch stoppen oder eindämmen.
Nach Angaben von ESET-Forscher Jakub Souček nutzt The Gentlemen zusätzlich Werkzeuge wie HexKiller, ThrottleBlood und HavocKiller. Sie verfolgen dasselbe Ziel: Schutzsoftware soll nicht mehr zuverlässig arbeiten, damit die Angreifer ungestörter Daten stehlen, Rechte ausweiten oder Dateien verschlüsseln können.
Damit diese Werkzeuge weniger auffallen, versieht The Gentlemen sie mit einer gemeinsamen Tarnschicht. Die Dateien geben sich nach außen als legitime Programme aus. Dafür verwenden sie gefälschte Versionsinformationen, kopierte Zertifikate und Icons, die an bekannte Sicherheitsanbieter erinnern. Für Administratoren und manche Schutzsysteme wirken sie dadurch auf den ersten Blick weniger verdächtig.
EDR-Killer als fertiger Baukasten
Die Strategie ist für ein RaaS-Modell besonders wirkungsvoll. Viele Ransomware-Gruppen überlassen das Ausschalten von EDR-Produkten ihren Affiliates. The Gentlemen zentralisiert diesen Schritt. ESET bewertet genau das als Attraktivitätsfaktor: Die Gruppe senkt die Einstiegshürde für Partner, weil sie ihnen eine einsatzbereite, standardisierte EDR-Killer-Suite liefert.
Technisch setzt The Gentlemen auf Bring Your Own Vulnerable Driver (BYOVD). Dabei bringen Angreifer einen legitimen, aber verwundbaren Treiber auf das System. Da solche Treiber oft mit hohen Rechten im Kernel laufen, können sie missbraucht werden, um Schutzprozesse zu beenden oder Sicherheitsmechanismen zu unterlaufen. Laut ESET operationalisiert die Gruppe öffentlich gewordene Proof-of-Concept (PoC)-Exploits ungewöhnlich schnell, teils binnen weniger Tage nach Veröffentlichung.
GentleKiller existiert in acht Varianten. Jede imitiert ein anderes legitimes Produkt und nutzt einen anderen verwundbaren oder bösartigen Treiber. Das Framework sucht gezielt nach 400 Prozessen, die 48 Sicherheitsprogrammen verschiedener Hersteller zugeordnet sind. Um Erkennung zu erschweren, schützen die Entwickler Binärdateien mit Enigma oder Themida und geben ihnen Dateinamen, Versionsinformationen, digitale Signaturen und Symbole, die bekannten Sicherheitsprodukten ähneln.
Missbrauchte Treiber im Überblick
Die von ESET beschriebenen GentleKiller-Varianten nutzen folgende Treiber:
- Kaspersky: „eb.sys“
- FACEIT Anti-Cheat: „nseckrnl.sys“
- Valorant: „GameDriverX64.sys“
- Javelin: „stpm_old.sys“ oder „stpm_new.sys“
- WatchDog: „dmx.sys“
- Network Blocker: „360netmon_wfp.sys“
- Cleaner: „IMFForceDelete.sys“
- G11: „PoisonX.sys“
Besonders „PoisonX.sys“ fiel zuletzt in mehreren BYOVD-Angriffen auf. In einem Fall wurde der Treiber genutzt, um CrowdStrike Falcon EDR zu beenden. Eine von Huntress beschriebene Kampagne zeigte zudem, wie unbekannte Angreifer BeyondTrust Remote Support missbrauchten, Ransomware ausrollten und zuvor Sicherheitswerkzeuge über „PoisonX.sys“ und „hrwfpdrv.sys“ ausschalteten.
Souček sieht hinter den Varianten eine gemeinsame technische Vorlage. Wenn man Tarnschicht und konkrete Treiber abstrahiere, zeige der Code zahlreiche strukturelle und verhaltensbezogene Gemeinsamkeiten. Das Design priorisiere einfache Bereitstellung und operative Flexibilität für Affiliates, während der Entwicklungsaufwand für die Betreiber sinke. Dadurch könne The Gentlemen neue missbrauchbare Treiber sehr schnell in das eigene Arsenal integrieren.
Weitere Werkzeuge und Datendiebstahl
Neben GentleKiller setzt die Gruppe weitere BYOVD-basierte EDR-Killer ein:
- HexKiller: nutzt „googleApiUtil64.sys“ und galt zuvor als exklusives Werkzeug der Warlock-Ransomware-Gruppe
- ThrottleBlood: nutzt „ThrottleBlood.sys“ und wurde bei Angriffen von MedusaLocker- und DragonForce-Affiliates beobachtet
- HavocKiller oder HwAudKiller: nutzt „havoc.sys“
ESET entdeckte außerdem einen in Rust geschriebenen Zugangsdaten-Dieb namens OxideHarvest, auch bekannt als buildx641. Das Tool kann Daten aus zahlreichen Browsern abgreifen, darunter Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk und IceCat.
Warum BYOVD immer gefährlicher wird
Die Analyse passt zu einem größeren Trend: Angreifer missbrauchen verwundbare Treiber nicht mehr nur innerhalb von Windows, sondern zunehmend auch in Bereichen, die noch vor dem eigentlichen Start des Betriebssystems aktiv werden. Genau davor warnt das CERT Coordination Center (CERT/CC) bei mehreren signierten Unified Extensible Firmware Interface (UEFI)-Anwendungen. UEFI ist die moderne Startumgebung eines Computers. Sie läuft, bevor Windows, Linux oder ein anderes Betriebssystem geladen wird.
Das Problem: Einige UEFI-Anwendungen von Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba und Uniwill sind zwar von Herstellern signiert, aber verwundbar. Wenn ein System diesen Signaturen vertraut, kann ein Angreifer mit Administratorrechten oder physischem Zugriff solche Anwendungen missbrauchen. Dadurch kann er schon in der frühen Startphase eigenen Code ausführen, also zu einem Zeitpunkt, an dem viele Schutzmechanismen des Betriebssystems noch gar nicht aktiv sind.
Deshalb empfiehlt das CERT/CC, die Unified Extensible Firmware Interface Forbidden Signature Database (DBX) zu aktualisieren. Die DBX ist vereinfacht gesagt eine Sperrliste für nicht mehr vertrauenswürdige Boot-Komponenten. Wird sie aktualisiert, erkennt das System die betroffenen signierten Dateien als gefährlich und verhindert, dass sie beim Start ausgeführt werden.
Für Verteidiger zeigt The Gentlemen, wie professionell moderne Ransomware-as-a-Service-Ökosysteme (RaaS) inzwischen arbeiten. Die Verschlüsselung der Daten ist nur noch der sichtbare Schlussakt. Davor steht eine vorbereitete Angriffskette: Schutzsoftware wird ausgeschaltet, Zugangsdaten werden gesammelt, legitime Treiber werden missbraucht und Fernwartungswerkzeuge können als Einstieg dienen.
Unternehmen sollten deshalb nicht nur nach der Ransomware selbst suchen. Wichtig sind auch ein aktuelles Treiberinventar, konsequente Kontrolle vertrauenswürdiger Signaturen, aktivierter Selbstschutz der Endpoint Detection and Response (EDR) und eine genaue Überwachung von Fernwartungssoftware. Entscheidend ist, verdächtige Vorbereitungen früh zu erkennen, bevor die Verschlüsselung beginnt.