FR|EN
L'essentiel de la tech, chaque jour
FR|EN
Cybersécurité20 juin 2026· via Security Affairs

L’arme secrète des Gentlemen : une suite centralisée pour neutraliser les EDR

L’arme secrète des Gentlemen : une suite centralisée pour neutraliser les EDR

Image : Security Affairs

Fin 2025, une nouvelle bande de ransomware a commencé à armer discrètement ses affiliés avec une trousse à outils prête à l’emploi, conçue pour neutraliser les systèmes de détection et réponse sur les points de terminaison avant même que la charge utile principale ne soit lancée. Des chercheurs en cybersécurité décrivent aujourd’hui comment The Gentlemen a centralisé cette démarche en distribuant une « suite de neutralisation des EDR » standardisée, facilitant grandement le contournement des défenses et le chiffrement des fichiers des victimes.

Une boutique tout-en-un pour désactiver les protections

La plupart des gangs de ransomware obligent encore leurs affiliés à rechercher eux-mêmes des outils pour neutraliser les logiciels de sécurité. The Gentlemen a choisi de régler le problème à leur place. Des échanges internes divulgués en mai 2026 révèlent que le leader du groupe, surnommé zeta88, fournit aux affiliés des kits préemballés combinant des installateurs semblant légitimes à des pilotes noyau malveillants. Une enquête de six mois menée par ESET, publiée le 18 juin, confirme que cette approche centralisée abaisse la barrière à l’entrée pour les attaquants et réduit le délai entre la compromission et le chiffrement.

GentleKiller : huit variantes, un modèle commun

Au cœur de la suite se trouve GentleKiller, un cadre maison disponible en au moins huit variantes distinctes. Chaque variante se fait passer pour un produit légitime différent tout en exploitant des pilotes vulnérables ou malveillants via la technique Bring Your Own Vulnerable Driver (BYOVD). Les variantes ciblent des pilotes de fournisseurs comme Kaspersky, FACEIT Anti-Cheat, Valorant, Javelin, Safetica, Zemana, Qihoo 360, IObit et le rootkit PoisonX. Une fois installé, GentleKiller recherche plus de 400 processus appartenant à 48 produits de sécurité — dont CrowdStrike, SentinelOne, Microsoft Defender, Sophos, Carbon Black et ESET lui-même — avant de les désactiver.

Rapidité avant tout

Les chercheurs soulignent que la véritable force de la suite réside dans son cycle d’adaptation accéléré. Dès qu’un nouveau concept de preuve pour un outil de neutralisation des EDR apparaît, les opérateurs de The Gentlemen peuvent l’intégrer à GentleKiller en quelques jours, comme ils l’ont fait avec UnknownKiller et PoisonKiller. Le modèle de développement partagé leur permet de réutiliser du code avec des modifications minimales, conciliant déploiement rapide et effort minimal des opérateurs. Pour les affiliés, le résultat est une solution clé en main qui supprime une grande partie de la complexité technique autrefois nécessaire pour mener à bien une attaque par ransomware.

Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur Security Affairs →

← Retour à l'accueil