Les hackers utilisent GentleKiller pour contourner 400 outils de sécurité
Une nouvelle opération de ransomware fournit discrètement aux affiliés un ensemble d'outils qui arrêtent des centaines de produits de sécurité des terminaux avant le début de l'attaque réelle. Cette évolution montre comment les groupes RaaS passent de simples chiffrement à des kits d'évasion complets.
Un arsenal croissant de neutraliseurs d'EDR
Les chercheurs qui suivent le groupe désormais connu sous le nom de The Gentlemen ont documenté une gamme mature de « neutraliseurs d'EDR » basée sur un framework appelé GentleKiller. Ce kit est conçu pour mettre fin à plus de 400 processus liés aux suites de détection et réponse des terminaux – agents locaux, connecteurs cloud et services antivirus inclus. Les affiliés reçoivent ces utilitaires avec la charge utile du ransomware, leur offrant une méthode clé en main pour affaiblir les défenses en un seul clic.
Du RaaS à la sabotage complet
L'apparition de GentleKiller illustre une tendance à la maturation dans l'économie du ransomware. Au lieu de dépendre uniquement du phishing ou de vulnérabilités non corrigées, les groupes RaaS proposent désormais des solutions clés en main combinant reconnaissance, collecte d'identifiants et contournement actif des défenses. En intégrant ces utilitaires au chiffreur, The Gentlemen vend en réalité un package d'intrusion complet plutôt qu'une souche malveillante autonome.
Que nous réserve l'avenir ?
Les équipes de sécurité doivent s'attendre à ce que des kits similaires se multiplient tant que les opérations RaaS restent rentables. Surveiller les terminaisons de processus inattendues et limiter les privilèges administratifs constituent les défenses les plus immédiates, tandis qu'un suivi en couches peut aider à détecter les mouvements latéraux souvent précédant le déploiement de ransomware.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.