ほとんどのランサムウェア運営グループは、エンドポイントセキュリティソフトウェアの無効化作業をアフィリエイトに委ねています。しかし、RaaS(サービスとしてのランサムウェア)ギャング「Gentlemen」は異なるモデルを採用しています。同グループの運営者は、エンドポイント検出・対応(EDR)製品を停止させるツール群を独自に開発・維持管理し、グループの暗号化ツールを利用するアフィリエイトへ直接提供しています。
2026年5月に発生したグループ内部のデータ漏洩により、この仕組みが確認され、EDRキラーパッケージの供給について話し合うグループリーダーの存在も明らかになりました。
「ここ数ヶ月でGentlemenに関する報告は複数出ていますが、グループのEDRキラーを詳細に分析したものはありませんでした。ESETが継続的にインシデントレベルの可視性を維持してきたおかげで、Gentlemenのマルウェア開発手法について、類を見ない深い視点を提供できます。2026年5月にGentlemenが被ったデータ漏洩により、グループ内部の仕組みをさらに詳しく把握することができました」と、ESETの研究者Jakub Součekは述べています。「この漏洩は、2026年2月に立てた仮説——Gentlemenの運営者がEDRキラーのポートフォリオを積極的に開発・維持し、アフィリエイトへ提供している、その中心には自社開発のフレームワーク(私たちはGentleKillerと命名)がある——を裏付けるものでもありました。」
Gentlemenは2025年末に登場し、2026年第1四半期には最も活発なランサムウェアグループの上位5社の一角に成長しました。同グループはアフィリエイトに身代金支払いの90%を分配しています。Group-IBは、その創設者が旧Qilinのアフィリエイトであることを突き止めています。グループはダブルエクストーション(二重恐喝)を実践しており、被害者のデータを暗号化した上で、支払いを拒否した場合はデータを公開すると脅迫します。暗号化ツールとしては、Windows・Linux・その他のプラットフォーム向けのGoベースのバリアント、およびESXi向けのCベースのバリアントを提供しています。
米国を超えたターゲット地域
上位のランサムウェアグループの多くは、公表されている被害者のほぼ半数が米国内に集中しています。一方、Gentlemenの被害者は東南アジア、南米、西ヨーロッパに集中するなど、より広い地域に分布しています。ターゲットリストには、タイ、ブラジル、フランスなどの国々も含まれています。
漏洩したデータによれば、運営者は候補となる組織を一元的に選別し、アフィリエイトに割り当てていることが判明しています。被害者の選定は主に、ターゲットのFortiGateファイアウォールの設定に基づいています。
8つのバリアントを持つ内製フレームワーク
スイートの中核をなすのがGentleKillerです。同ツールはGentlemenCollectionと呼ばれるステージングディレクトリで最初に観察されました。GentlemenによるEDRキラーの中で最も広く使用されており、少なくとも8つのバリアントが確認されています。各バリアントは異なる正規製品を偽装し、それぞれ異なる脆弱なカーネルドライバーまたは悪意のあるカーネルドライバーを悪用しています。
各バリアントには、ゲームやセキュリティ製品に由来する名称が付けられています。バリアントをまたいでコードには共通の文字列、タイマーで動作するプロセス終了ループ、同一の難読化処理が含まれており、共通の開発テンプレートが再利用されていることを示しています。全体のターゲット範囲は、48のセキュリティ製品に関連する400以上のプロセス名に及びます。
GentlemenはBYOVD(Bring Your Own Vulnerable Driver)の新たな概念実証コード(PoC)を公開後すぐに取り込みます。UnknownKillerおよびPoisonKillerとして追跡された最近の2例も、公開からわずか数日でツールセットに組み込まれました。
外部ツールと共通の偽装手法
このスイートには、外部から入手した3つのツールも含まれています。HexKillerはWarlockギャングとの関連が以前から指摘されていたツールです。ThrottleBloodはMedusaLockerとDragonForceの侵入事案で使用が確認されており、Trend Microは2025年9月にGentlemenとの関連を指摘しました。HavocKillerは2026年3月19日にHuntressによって公開されましたが、ESETのテレメトリデータでは少なくとも2026年1月23日に遡る実際の侵入での使用が確認されています。Gentlemenはこれらのツールを不明なルートで入手し、自グループのツールセットに合わせて標準化しました。
共通の回避レイヤーがポートフォリオ全体を結びつけています。運営者はコンパイル済みのバイナリにこのレイヤーを適用しており、ソースコードを持たないツールにも保護を施せるようになっています。ファイル名は著名なセキュリティベンダーを模倣しており、実行ファイルには偽造されたバージョン情報、正規ソフトウェアからコピーした無効なデジタル署名、偽装対象製品から取得したアイコンが組み込まれています。多くのサンプルにはEnigmaまたはThemidaによる市販のパッキングも施されており、その事実はファイル名のサフィックスに記録されています。
防御側への示唆
RansomHubは以前、アフィリエイト向けにEDRキラーを1つ内製していました。これに対しGentlemenは、オリジナルコードと公開研究を組み合わせた多様なポートフォリオを維持しています。このモデルはアフィリエイトの参入障壁を下げ、すぐに使える防御無効化の手段を提供しています。また、これらのツールに共通するベンダー偽装は、単一のサンプルが単独で発見された場合の帰属特定を困難にします。GentleKillerの動作を深く理解することが、現在のビルドとGentlemenが今後追加するバリアントを検知するための基盤となります。
翻訳元: https://www.helpnetsecurity.com/2026/06/18/eset-gentlemen-edr-killers/
