ESET odhaľuje arzenál skupiny Gentlemen, ransomvérový gang dodáva útočníkom vlastné nástroje na vypínanie EDR ochrany

• Útočníci zo skupiny Gentlemen vyvíjajú a udržiavajú balík nástrojov – „EDR killerov“ – na vypínanie pokročilých bezpečnostných EDR riešení, ktorý poskytujú priamo svojim affiliate partnerom – spolupracujúcim útočníkom využívajúcim ich technológiu.
• Ich škodlivý framework GentleKiller má najmenej osem variantov, ktoré zneužívajú rôzne zraniteľné alebo škodlivé ovládače.
• Operátori skupiny Gentlemen používajú naprieč nástrojmi jednotnú stratégiu obchádzania ochrany s cieľom štandardizovať imitovanie legitímnych produktov a ochranné mechanizmy.
• Do operácií skupiny sú integrované aj EDR killery tretích strán, konkrétne HexKiller, ThrottleBlood a HavocKiller.
• Obete skupiny sú geograficky rozptýlené po celom svete vrátane Európy.

Výskumníci spoločnosti ESET analyzovali robustnú sadu škodlivých nástrojov na vypínanie bezpečnostných EDR riešení, ktorú používa ransomvérová skupina Gentlemen fungujúca v rámci modelu ransomvér ako služba (ransomware-as-a-service - RaaS). Od začiatku roka 2026 sa Gentlemen zaradili medzi najaktívnejšie skupiny v ransomvérovom ekosystéme. Skupina sa odlišuje vyspelou sadou nástrojov na narúšanie riešení typu endpoint detection and response (EDR), ktorú udržiavajú samotní operátori. Na rozdiel od väčšiny popredných ransomvérových skupín zároveň Gentlemen nevykazujú výrazné zameranie na obete v USA, ale útočia na ciele v Juhovýchodnej Ázii, Južnej Amerike a západnej Európe. Medzi krajinami, na ktoré sa skupina zameriava, sú aj inak menej často napádané štáty, ako Thajsko, Brazília a Francúzsko.

„Hoci sa v posledných mesiacoch objavilo viacero správ o skupine Gentlemen, nevenovali sa podrobnej analýze jej EDR killerov. Vďaka priebežnému prehľadu spoločnosti ESET na úrovni jednotlivých incidentov vieme ponúknuť mimoriadne detailný pohľad na vývojové postupy skupiny Gentlemen v oblasti nástrojov na vypínanie EDR riešení. Interný únik dát, ktorý skupina Gentlemen utrpela v máji 2026, nám poskytol ešte hlbší pohľad do jej fungovania,“ hovorí výskumník spoločnosti ESET Jakub Souček, ktorý analyzuje EDR killery. „Únik nám zároveň umožnil potvrdiť hypotézu z februára 2026, že operátori skupiny Gentlemen aktívne vyvíjajú a udržiavajú portfólio EDR killerov, ktoré ponúkajú svojim affiliate partnerom. Toto portfólio je postavené okolo ich interného systému, ktorý sme pomenovali GentleKiller.“

Skupina okrem toho využíva nástroje tretích strán alebo uniknuté nástroje, ako sú HexKiller, ThrottleBlood a HavocKiller. Tieto nástroje sú štandardizované prostredníctvom spoločnej vrstvy na obchádzanie ochrany, ktorá imituje predovšetkým bezpečnostných dodávateľov použitím falošných informácií o verzii, ako aj skopírovaných legitímnych certifikátov a ikon. Gentlemen zároveň preukazujú schopnosť nezvyčajne rýchlo nasadzovať verejné proof-of-concepty využívajúce techniku Bring Your Own Vulnerable Driver, často v priebehu niekoľkých dní od ich publikovania. Okrem EDR killerov ESET identifikoval aj nástroj na krádež prihlasovacích údajov, ktorý pomenoval OxideHarvest. Tento nástroj vyvinul jeden z affiliate partnerov skupiny Gentlemen.

Pre kontext, Gentlemen sa objavili koncom roka 2025 ako RaaS aktéri a rýchlo sa vypracovali medzi najaktívnejšie ransomvérové skupiny pozorované v prvom štvrťroku 2026. Skupina ponúka affiliate partnerom štedrý 90-percentný podiel. Gentlemen využívajú dvojité vydieranie — okrem šifrovania dát obete sa zároveň vyhrážajú ich zverejnením v prípade, že výkupné nebude zaplatené.

Jedným z prvkov, ktorým sa Gentlemen odlišujú, je ochota poskytovať affiliate partnerom viac než len šifrovacie nástroje. Skupina im ponúka najmä EDR killery. Gentlemen tak predstavujú odlišný a doposiaľ málo zdokumentovaný prístup. Namiesto toho, aby sa spoliehali na affiliate partnerov, že si zaobstarajú vlastné nástroje na vypínanie EDR riešení, operátori skupiny Gentlemen aktívne vyvíjajú a udržiavajú ich portfólio pre svojich partnerov.

Hoci je výber obetí veľkých RaaS operácií často viac ovplyvnený rozhodnutiami affiliate partnerov než stratégiou vedenou operátormi, zvyčajne sa objavuje jeden konkrétny vzorec. Väčšina významných ransomvérových skupín sa dlhodobo sústreďuje na Spojené štáty, ktoré často predstavujú približne polovicu všetkých zverejnených obetí. Gentlemen sú v tomto smere pozoruhodnou výnimkou. Napriek tomu, že v prvom štvrťroku 2026 patrili medzi päť najaktívnejších ransomvérových skupín, nevykazujú významné zameranie na USA. Affiliate partneri skupiny Gentlemen namiesto toho konzistentne útočia na obete v širokom a geograficky rozmanitom spektre krajín, pričom významný počet obetí pochádza z regiónov, ako sú Juhovýchodná Ázia, Južná Amerika a západná Európa.

Operátori skupiny Gentlemen aplikujú na rôzne EDR killery špecifický súbor techník na obchádzanie ochrany. Tieto techniky sa aplikujú na skompilované vzorky, nie na zdrojový kód. Gentlemen tak majú možnosť chrániť aj tie EDR killery, ktorých zdrojový kód nemajú k dispozícii. GentleKiller je zďaleka najrozšírenejším EDR killerom pozorovaným v ekosystéme skupiny Gentlemen.

Výskumníci spoločnosti ESET doteraz objavili osem odlišných variantov, pričom každý z nich imituje iný legitímny produkt a zneužíva iný zraniteľný alebo škodlivý ovládač. Napriek týmto rozdielom ESET klasifikuje všetky spomínané vzorky pod označením GentleKiller vzhľadom na vysokú mieru zdieľaných interných charakteristík.

„Z pohľadu obrany umožňuje pochopenie fungovania frameworku GentleKiller bezpečnostným tímom lepšie navrhovať obranné stratégie a chrániť sa aj pred budúcimi prírastkami do arzenálu skupiny Gentlemen určeného na vypínanie EDR riešení,“ uzatvára Souček.

Podrobnejšiu technickú analýzu nájdete v najnovšom blogu na WeLiveSecurity. Aby ste nezmeškali najnovšie zistenia výskumníkov spoločnosti ESET, sledujte ich na sieťach X (niekdajší Twitter), BlueSky a Mastodon.

O spoločnosti ESET

ESET® je popredným európskym poskytovateľom riešení v oblasti kybernetickej bezpečnosti s pobočkami po celom svete. Poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.