RedPacket Security4d ago

GentleKiller Framework: How Gentlemen Ransomware Disables Victims’ Security Software - https://www.redpacketsecurity.com/gentlekiller-framework-disables-victims-security-software/

#threatintel #EDR_killers #ransomware #BYOVD

GentleKiller Framework: How Gentlemen Ransomware Disables Victims’ Security Software - RedPacket Security

One of the most active ransomware gangs of 2026 has been handing its affiliates a ready-made toolkit for switching off victims' security software before the

RedPacket Security
Analyst2074d ago

Ransomware Gang Disables Security Software with GentleKiller Framework

Meet GentleKiller, a sneaky framework that helps ransomware gangs disable security software by targeting over 400 processes across 48 security products at the kernel level, allowing them to run unchecked. This sinister tool uses a "bring your own vulnerable driver" technique to terminate protections and clear the way for…

https://osintsights.com/ransomware-gang-disables-security-software-with-gentlekiller-framework?utm_source=mastodon&utm_medium=social

#Ransomware #Gentlekiller #Byovd #EndpointDetectionAndResponse #EdrKiller

Ransomware Gang Disables Security Software with GentleKiller Framework

Learn how GentleKiller framework disables security software to spread ransomware and take action now to protect your organization from this threat effectively.

OSINTSights
CyberVeille.ch5d ago

📢 Gentlemen RaaS : une suite EDR killer combinant HexKiller, ThrottleBlood et HavocKiller
📝 ## 🎯 Contexte

Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d'ESET, Group-IB et PRODAFT, portant sur la suite EDR killer...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-21-gentlemen-raas-une-suite-edr-killer-combinant-hexkiller-throttleblood-et-havockiller/
🌐 source : https://cyberpress.org/gentlemen-edr-killer-suite/
#BYOVD #BlackLock #Cyberveille

Gentlemen RaaS : une suite EDR killer combinant HexKiller, ThrottleBlood et HavocKiller

🎯 Contexte Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opérateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classé parmi les cinq groupes ransomware les plus actifs au T1 2026. 👤 Acteurs et structure Le groupe a été fondé par un acteur connu sous le pseudonyme hastalamuerte, ancien affilié de Qilin, avec des liens documentés vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publié des éléments d’identification réelle de cet acteur le 10 juin 2026. Le groupe propose à ses affiliés une part de revenus de 90%.

CyberVeille
Analyst207Jun 19

Gentlemen Ransomware Targets 400 Security Processes with GentleKiller EDR Framework

Meet GentleKiller, a sophisticated EDR-killer framework used by The Gentlemen ransomware-as-a-service operation to evade detection by targeting 400 security processes from 48 distinct programs. This framework comes in eight variants, each designed to mimic a legitimate product and exploit a vulnerable driver.

https://osintsights.com/gentlemen-ransomware-targets-400-security-processes-with-gentlekiller-edr-framew?utm_source=mastodon&utm_medium=social

#Ransomware #GentlemenRansomware #Edr #EndpointDetectionAndResponse #Byovd

Gentlemen Ransomware Targets 400 Security Processes with GentleKiller EDR Framework

Learn how Gentlemen Ransomware uses GentleKiller EDR framework to target 400 security processes, and protect your business from this threat today effectively.

OSINTSights
CyberVeille.chJun 19

📢 Gentlemen RaaS : analyse approfondie du framework EDR killer GentleKiller
📝 ## 🔍 Contexte

Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d'une investiga...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-gentlemen-raas-analyse-approfondie-du-framework-edr-killer-gentlekiller/
🌐 source : https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/
#BYOVD #BlackLock #Cyberveille

Gentlemen RaaS : analyse approfondie du framework EDR killer GentleKiller

🔍 Contexte Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US) Sélection des victimes basée sur les mauvaises configurations FortiGate 🛠️ Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentées, chacune abusant d’un driver différent Cible plus de 400 processus mappés à 48 produits de sécurité Déployé dans le répertoire GentlemenCollection Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique Intégration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusés par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intégrés : HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) 🛡️ Stratégie d’évasion défensive Protection binaire avancée : Enigma ou Themida Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides) Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641) Vole les credentials de navigateurs Chromium et Gecko Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) Emballé dans différents packers avec usurpation d’identité similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives.

CyberVeille
Analyst207Jun 18

Gentlemen Ransomware Targets EDR Defenses With Suite of Killers

Meet GentleKiller, a powerful tool used by Gentlemen ransomware to disable EDR defenses by targeting over 400 processes from 48 security vendors, allowing for smooth data theft and encryption. This sneaky utility relies on the bring your own vulnerable driver (BYOVD) technique to outsmart security engines.

https://osintsights.com/gentlemen-ransomware-targets-edr-defenses-with-suite-of-killers?utm_source=mastodon&utm_medium=social

#Ransomware #Edr #Byovd #GentlemenRansomware #KillChain

Gentlemen Ransomware Targets EDR Defenses With Suite of Killers

Learn how Gentlemen ransomware uses GentleKiller to bypass EDR defenses and escalate privileges, and take action to protect your organization now with expert security tips.

OSINTSights
Analyst207May 22

Exploiting Windows Drivers Without Hardware: The BYOVD Perspective

Discover how attackers can exploit Windows drivers without hardware, turning kernel-mode driver bugs into powerful tools to bypass security controls. The Atos Threat Research Center reveals a game-changing method to manipulate reachability from userland on Windows 11 23H2.

https://osintsights.com/exploiting-windows-drivers-without-hardware-the-byovd-perspective?utm_source=mastodon&utm_medium=social

#Byovd #Windows #KernelDrivers #VulnerabilityExploitation #Windows11

Exploiting Windows Drivers Without Hardware: The BYOVD Perspective

Learn how to exploit Windows drivers without hardware using BYOVD and elevate your cybersecurity game; discover the techniques and criteria for successful attacks today.

OSINTSights
CyberVeille.chMay 21

📢 CVE-2024-12802 : exploitation active de SonicWall SSL VPN malgré le patch firmware
📝 ## 🔍 Contexte

Publié le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey),...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-21-cve-2024-12802-exploitation-active-de-sonicwall-ssl-vpn-malgre-le-patch-firmware/
🌐 source : https://reliaquest.com/blog/threat-spotlight-vpn-exploitation-when-patched-doesnt-mean-protected/
#Akira #BYOVD #Cyberveille

CVE-2024-12802 : exploitation active de SonicWall SSL VPN malgré le patch firmware

🔍 Contexte Publié le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observées entre février et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnérabilité de contournement d’authentification dans les appliances SonicWall SSL VPN. 🎯 Vulnérabilité et mécanisme d’exploitation CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la manière dont le MFA est appliqué selon le format de login utilisé :

CyberVeille
CyberVeille.chMay 7

📢 LOLDrivers : ajout de nouveaux drivers vulnérables IoBitUnlocker, Zemana et TfSysMon utilisés en BYOVD
📝 ## 🔍 Contexte

Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public **LOLDrivers** (magicsword-io),...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-loldrivers-ajout-de-nouveaux-drivers-vulnerables-iobitunlocker-zemana-et-tfsysmon-utilises-en-byovd/
🌐 source : https://github.com/magicsword-io/LOLDrivers/pull/221
#BYOVD #IOC #Cyberveille

LOLDrivers : ajout de nouveaux drivers vulnérables IoBitUnlocker, Zemana et TfSysMon utilisés en BYOVD

🔍 Contexte Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public LOLDrivers (magicsword-io), un projet de référencement de drivers légitimes mais vulnérables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a été initiée par le chercheur mnznndr97 le 28 mars 2025 et approuvée après plusieurs mois de revue. 🧩 Contenu de la contribution Trois nouveaux drivers vulnérables ont été documentés et ajoutés au référentiel :

CyberVeille
CyberVeille.chMay 7

📢 Rétro-ingénierie de gdrv3.sys (Gigabyte) : 13 primitives d'accès matériel exploitables en BYOVD
📝 ## 🔍 Contexte

Article de recherche publié le 02 mai 2026 sur le blog personnel d'Aaron Haymore (zonifer.dev).
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-retro-ingenierie-de-gdrv3-sys-gigabyte-13-primitives-d-acces-materiel-exploitables-en-byovd/
🌐 source : https://zonifer.dev/posts/byovd-kernel-driver-hardware-primitives.html
#BYOVD #Gigabyte #Cyberveille

Rétro-ingénierie de gdrv3.sys (Gigabyte) : 13 primitives d'accès matériel exploitables en BYOVD

🔍 Contexte Article de recherche publié le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur présente une analyse technique complète du pilote noyau gdrv3.sys livré avec Gigabyte APP Center, dans le cadre d’une étude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signé par Microsoft, déposé dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra révèle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR.

CyberVeille