Grupa ransomware-as-a-service The Gentlemen opracowała framework GentleKiller, zdolny do neutralizowania ponad 400 procesów powiązanych z oprogramowaniem EDR i zabezpieczeniami endpoint. Narzędzie jest udostępniane afiliantom przed wdrożeniem właściwego ransomware, co znacząco utrudnia wykrycie ataku na wczesnym etapie. Dla organizacji B2B polegających na EDR jako głównej linii obrony incydent ten pokazuje, że samo wdrożenie agenta bezpieczeństwa nie wystarczy – kluczowa staje się warstwa detekcji behawioralnej i architektura odporna na wyłączenie pojedynczego komponentu.
Profesjonalizacja RaaS i modularne zestawy narzędzi
Model ransomware-as-a-service ewoluował z prostych paneli afiliacyjnych w pełne ekosystemy: dostawcy malware'u oferują nie tylko szyfrujący payload, lecz kompletne pakiety obejmujące narzędzia do omijania EDR, lateral movement, exfiltrację danych i negocjacje z ofiarami. GentleKiller wpisuje się w ten trend – jest warstwą pre-ransomware, która czyści środowisko z agentów bezpieczeństwa, zanim główny payload zostanie uruchomiony.
Framework identyfikuje i terminuje procesy powiązane z produktami takimi jak CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Carbon Black i dziesiątkami mniejszych dostawców. Techniki obejmują zarówno bezpośrednie zabijanie procesów, jak i manipulację sterownikami kernel-mode i wyłączanie usług ochrony w czasie rzeczywistym.
Dlaczego EDR alone nie wystarczy
- Pre-execution kill chain – GentleKiller działa przed uruchomieniem ransomware, więc alerty związane z szyfrowaniem mogą nigdy nie powstać.
- Szerokie pokrycie vendorów – ponad 400 procesów oznacza, że większość popularnych EDR jest objęta.
- Modularność – afilianci mogą dostosować listę celów do środowiska ofiary.
- Testowanie przed atakiem – narzędzia RaaS są testowane przeciwko aktualnym wersjom EDR w laboratoriach przestępców.
Strategia obrony wielowarstwowej
Organizacje powinny traktować EDR jako jedną z wielu warstw, nie jako jedyną barierę. Segmentacja sieci ogranicza lateral movement po kompromitacji pojedynczego endpointu. Backup offline i immutable storage chroni przed utratą danych nawet po udanym ataku ransomware. Monitoring tożsamości (ITDR) wykrywa eskalację uprawnień i nietypowe logowania, które EDR mógł nie zarejestrować po wyłączeniu agenta.
Zespoły utrzymujące infrastrukturę IT powinny wdrożyć tamper protection na agentach EDR, wymusić uruchamianie usług ochrony z uprawnieniami systemowymi oraz monitorować zdarzenia wyłączenia antywirusa i EDR jako alerty krytyczne w SIEM. Regularne testy purple team symulujące wyłączenie EDR przed ransomware pomagają ocenić gotowość reagowania.
Procedury reagowania na incydenty ransomware
Playbook reagowania powinien zakładać scenariusz, w którym EDR na części endpointów jest niedostępny. Izolacja sieciowa segmentów, rotacja poświadczeń domenowych, analiza logów firewall i proxy oraz szybka aktywacja procedury odzyskiwania z backupów stają się wtedy priorytetem. Komunikacja z zarządem i ewentualnymi regulatorami wymaga przygotowanych szablonów i jasnego podziału ról.
Organizacje bez dedykowanego SOC mogą skorzystać z zewnętrznego wsparcia w ramach usług IT dla firm, obejmujących monitoring 24/7, ćwiczenia tabletop i plan ciągłości działania po incydencie ransomware.
Integracja z istniejącym stackiem EDR
Organizacje korzystające z wielu produktów EDR w różnych segmentach sieci powinny ujednolicić politykę tamper protection i centralnie monitorować zdarzenia wyłączenia usług ochrony. Korelacja alertów z firewall, proxy i identity provider umożliwia wykrycie sekwencji: wyłączenie EDR → skanowanie sieci → exfiltracja → szyfrowanie. SOAR playbook automatycznie izolujący host po wykryciu terminacji procesu EDR skraca czas reakcji.
Testy purple team symulujące GentleKiller powinny być elementem rocznego programu bezpieczeństwa – weryfikacja, czy SIEM i SOC reagują na wyłączenie agenta w czasie poniżej 15 minut.
Kontekst regulacyjny i raportowanie
Incydenty omawiane w tym artykule mogą wymagać oceny pod kątem RODO, NIS2 i branżowych regulacji. Organizacje powinny utrzymywać aktualny rejestr przetwarzania, procedurę oceny ryzyka naruszenia i kontakty do zespołu IR dostępne 24/7. Dokumentacja timeline incydentu – od wykrycia po remediację – jest kluczowa przy post-audit i rozmowach z ubezpieczycielem cyber.
Zalecamy coroczne ćwiczenia tabletop z udziałem zarządu, IT, legal i PR. Scenariusze powinny obejmować wyciek danych, ransomware i kompromitację łańcucha dostaw SaaS.
Długoterminowa strategia cyberodporności
Pojedyncza remediacja po incydencie nie buduje odporności organizacji. Inwestycja w defense-in-depth, ciągłe szkolenia użytkowników, threat intelligence i partnerstwo z wyspecjalizowanym dostawcą usług IT dla firm pozwala skrócić mean time to detect i mean time to respond.
Praktyczne kroki na najbliższe 30 dni
W ciągu pierwszego tygodnia: inwentaryzacja dotkniętych systemów, rotacja poświadczeń i wdrożenie dostępnych łatek. W drugim tygodniu: testy detekcji, aktualizacja playbooków IR i szkolenie kluczowych użytkowników. W trzecim i czwartym tygodniu: audyt kompensujących kontroli, raport dla zarządu i plan długoterminowej remediacji architektury. Każdy krok powinien mieć właściciela, deadline i mierzalny outcome.
Zespoły bez wewnętrznych zasobów security mogą zaangażować zewnętrznego partnera do acceleracji remediacji – typowy engagement trwa 2–6 tygodni i obejmuje assessment, hardening oraz przekazanie runbooków zespołowi IT klienta. AbejaIT wspiera organizacje B2B na każdym etapie – od szybkiej oceny ekspozycji po wdrożenie trwałych kontroli bezpieczeństwa.
Współpraca z partnerem technologicznym
Wiele organizacji B2B nie ma wystarczających zasobów wewnętrznych, aby samodzielnie utrzymać pełen program bezpieczeństwa – od threat intelligence po 24/7 SOC. Współpraca z doświadczonym dostawcą usług IT pozwala skrócić czas wdrożenia kontroli, uniknąć typowych błędów konfiguracyjnych i utrzymać ciągłość wiedzy nawet przy rotacji pracowników wewnętrznych. Model współpracy powinien jasno definiować SLA, zakres odpowiedzialności i procedurę eskalacji incydentów.
AbejaIT wspiera firmy w audytach bezpieczeństwa, hardeningu infrastruktury, wdrożeniach rozwiązań AI z governance oraz długoterminowym utrzymaniu środowisk produkcyjnych. Każdy engagement rozpoczynamy od assessmentu dojrzałości i priorytetyzacji quick wins – działań dających największą redukcję ryzyka w najkrótszym czasie.
Metryki sukcesu programu bezpieczeństwa
Skuteczny program cyberbezpieczeństwa mierzy MTTD (mean time to detect), MTTR (mean time to respond), liczbę critical findings po audycie, coverage backupów immutable oraz wynik phishing simulation. Dashboard prezentowany zarządowi co kwartał powinien pokazywać trend – nie tylko absolutne wartości. Cele powinny być realistyczne: np. skrócenie MTTR o 20% rok do roku, 100% coverage MFA na kontach admin, zero critical CVE na exposed services po 72h od publikacji.
Podsumowanie
GentleKiller od The Gentlemen pokazuje, że cyberprzestępcy systematycznie inwestują w omijanie EDR. Firmy B2B muszą odpowiedzieć architekturą defense-in-depth, testami odporności i procedurami reagowania niezależnymi od pojedynczego agenta endpoint. To nie czas na samozadowolenie po wdrożeniu EDR – to czas na weryfikację, czy reszta warstw obrony działa, gdy EDR zawiedzie.
Źródło: The Hacker News