• De operatoren van Gentlemen ontwikkelen en onderhouden een suite van EDR-killers die rechtstreeks aan partners geleverd wordt.
• GentleKiller, een interne framework, heeft ten minste acht varianten die verschillende kwetsbare of kwaadaardige drivers misbruiken.
• De operatoren van Gentlemen passen een uniforme ontwijkingsstrategie toe op alle tools om imitatie en bescherming te standaardiseren.
• EDR-killers van derden (HexKiller, ThrottleBlood en HavocKiller) werden operationeel geïntegre
ESET Research heeft de robuuste EDR-toolset van Gentlemen, een ransomware-as-a-service (RaaS)-groep, geanalyseerd. Sinds begin 2026 evolueerde Gentlemen tot een van de meest actieve bendes in het ransomware-ecosysteem. De groep onderscheidt zich door een goede, door operatoren onderhouden, toolset om endpoint detection and response (EDR)-systemen te vernietigen en dus beveiligingssoftware te omzeilen. In tegenstelling tot de meeste top-bendes, heeft Gentlemen geen sterke focus op de VS. Het richt zich op slachtoffers in West-Europa, Zuidoost-Azië en Zuid-Amerika en op landen die anders zelden het doelwit zijn, zoals Frankrijk, Thailand en Brazilië.
“De voorbije maanden zijn er meerdere rapporten over Gentlemen verschenen, maar deze waren niet gericht op een gedetailleerde analyse van de EDR-killers van de groep. Dankzij continue navolging op incidentniveau kan ESET een zeer grondig inzicht bieden in de ontwikkelingspraktijken van Gentlemen op het gebied van EDR-killers. Het interne datalek dat Gentlemen in mei 2026 trof, gaf ons meer inzicht om de interne werking van onze hypothese van februari 2026 te bevestigen: de operatoren van Gentlemen ontwikkelen en onderhouden een portfolio van EDR-killers die ze aan partners aanbieden, gebaseerd op hun eigen framework, dat we GentleKiller hebben genoemd.”
De groep gebruikt tools van derden of gelekte tools zoals HexKiller, ThrottleBlood en HavocKiller. Deze zijn gestandaardiseerd via een gedeelde verdedigings-ontduikingslaag, waarbij ze zich vooral voordoen als beveiligingsleveranciers door valse informatie en gekopieerde legitieme certificaten en pictogrammen te gebruiken. Gentlemen demonstreert ook het vermogen om nieuw onthulde Bring Your Own Vulnerable Driver proofs-of-concept uiterst snel te implementeren, vaak binnen enkele dagen na de publieke release. Naast de EDR-moordenaars heeft ESET ook een inloggegevens-steler geïdentificeerd die het OxideHarvest noemde. Deze tool is ontwikkeld door een partner van Gentlemen.
Eind 2025 dook Gentlemen op als een RaaS-operatie (Ransomware as a Service) en de groep werd in het eerste kwartaal van 2026 een van de meest actieve ransomware-bendes die aan partners een aandeel van 90% biedt. Gentlemen gebruikt dubbele afpersing: eerst door het versleutelen van de gegevens van het slachtoffer, en dandoor te dreigen met het openbaar maken van de gegevens als het losgeld niet betaald wordt.
Hoewel de slachtofferkeuzes van grote RaaS-operaties meer bepaald worden door de aangesloten partners dan door de strategie van de operator zelf, ziet men toch een bepaald patroon. De meeste grote ransomware-bendes richten zich vooral op de VS, waar vaak de helft van alle gemelde slachtoffers vandaan komt. Gentlemen is hierop een opvallende uitzondering. Hoewel het in het eerste kwartaal van 2026 tot de vijf meest actieve ransomware-bendes behoorde, is het gebrek aan focus op de VS opmerkelijk. De aangesloten partners van Gentlemen richten zich op slachtoffers in een breed en geografisch diverse waaier aan landen, met heel wat slachtoffers in West-Europa, Zuidoost-Azië en Zuid-Amerika.
De operatoren van Gentlemen passen specifieke technieken toe om de verschillende EDR-killers van de bende te ontplooien door ze toe te passen op gecompileerde samples in plaats van op de broncode. Dit geeft Gentlemen de mogelijkheid om de EDR-killers te beschermen zonder aan de broncode te komen. GentleKiller is de meest voorkomende EDR-killer die in het Gentlemen-ecosysteem waargenomen wordt.
Tot vandaag heeft ESET Research acht verschillende varianten ontdekt, die elk een ander legitiem product imiteren en misbruik maken van een kwetsbare of kwaadaardige driver. Ondanks deze kleine verschillen groepeert ESET al deze samples onder de naam GentleKiller wegenshet groot aantal gedeelde interne kenmerken.
” Inzicht hebben in de werking van GentleKiller, vanuit een verdedigingsperspectief, stelt verdedigers in staat hun strategieën te verbeteren en zich te verdedigen tegen nog te ontwikkelen toevoegingen aan Gentlemen’s EDR-vernietigingsarsenaal,” besluit Souček.
Voor meer informatie over Gentlemen’s EDR killers kan men de blog van ESET Research “Killing me gently: Inside Gentlemen’s EDR killer framework” op www.WeLiveSecurity.com raadplegen. Volg ESET Research ook op X, BlueSky en Mastodon voor de nieuwste info.
Bezoek, voor meer informatie, www.eset.com of volg ESET op sociale media, luister naar de podcasts, lees de blogs en www.eset.com/be-nl.
Meer lezen
