The Gentlemenランサムウェア、EDR無効化フレームワーク「GentleKiller」で400件のセキュリティプロセスを標的に

The Gentlemenランサムウェア、EDR無効化フレームワーク「GentleKiller」で400件のセキュリティプロセスを標的に

The Hacker News – Jun 19, 2026

RaaSグループ「Gentlemen」は、EDRキラーを積極的に開発・メンテナンスし、すぐに使える状態の「EDRキラースイート」をアフィリエイトらに提供しているという。サイバーセキュリティ企業ESETが報告した。

Gentlemenは2025年3月に登場し、以後急速に地位を向上させて現在では最も活発なランサムウェアグループの一つとなっている。サイバーセキュリティジャーナリストのBrian Krebs氏やProdaft社のレポートによれば、元々Qilinなどのランサムウェアグループのアフィリエイトとして活動していたロシア国籍のAlexander Andreevich Yapaev（別名hastalamuerte）という人物がGentlemenを率いているとされる。Ransomware.liveのデータによれば、現時点までの同グループの被害組織は517組織に上るという。

ESETはGentlemenを「技術的に最も機敏なRaaSグループの1つ」と説明。独自のEDRキラーフレームワーク「GentleKiller」をサードパーティのEDRキラーと併せて活用していることに加え、BYOVD技術に関連する新たなPoCエクスプロイトが公開されると「異常な速さで」これを攻撃使用可能な状態にする能力を有していることなどを報告した。

EDRキラースイートの中心となるGentleKillerには8つの亜種が存在し、それぞれが正規のセキュリティ製品を模倣して以下の脆弱なドライバまたは悪意あるドライバを悪用してBYOVD攻撃を行うという。GentleKillerは、異なる48種のセキュリティプログラムと関連する400件のプロセスを標的にする。 

• Kaspersky（eb.sys）
• FACEIT Anti-Cheat（nseckrnl.sys）
• Valorant（GameDriverX64.sys）
• Javelin（stpm_old.sysまたはstpm_new.sys）
• WatchDog（dmx.sys）
• Network Blocker（360netmon_wfp.sys）
• Cleaner（IMFForceDelete.sys）
• G11（PoisonX.sys）

また、Gentlemenが採用しているサードパーティのEDRキラーには以下が含まれるとされる。

• HexKiller（googleApiUtil64.sys）：かつてはWarlockランサムウェアグループ専有のツールと考えられていたEDRキラー
• ThrottleBlood（ThrottleBlood.sys）：過去にMedusaLockerやDragonForceのアフィリエイトによる攻撃での使用が観測されたツール 
• HavocKillerまたはHwAudKiller（havoc.sys）

ESETはまた、Gentlemenの攻撃でRustベースの認証情報スティーラー「OxideHarvest（buildx641）」が展開されるのも観測。このスティーラーはGoogle ChromeやMicrosoft Edge、Brave、Mozilla FirefoxなどのWebブラウザからデータを収集する性能を持つとされる。

ほとんどのランサムウェアグループがEDR無効化の工程をアフィリエイトに委ね続けている中、Gentlemenがこの機能を中央集権化することを選択し、アフィリエイトに対してすぐに使える標準化されたEDR無効化ツールスイートを提供している。これを踏まえてESETは、この決断によりアフィリエイトは労力を節約できるようになっていることから、「Gentlemenはアフィリエイトにとって魅力的な運営組織となっている」と指摘している。

新ランサムウェアPrinz Eugen、最近変更されたファイルを優先的に暗号化

BleepingComputer – June 20, 2026

新たなランサムウェアオペレーション「Prinz Eugen」について、Threatdownの研究者らが報告。このグループは、最近変更されたファイルの暗号化を優先的に行い、ランサムノート（身代金要求メモ）をあえて残さない手法を採用しているという。

Prinz Eugenはその他多くの恐喝グループとは異なり、RaaSモデルを採用しておらず、開発者がアフィリエイトを募集している様子はないとされる。現在同グループのリークサイトには3組しか被害組織が掲載されていないものの、サイバーセキュリティコミュニティではさらに多くの被害組織が認識されているという。Threatdownによれば、同グループはハンズオンキーボードスタイルの攻撃を行い、正規RMMソフトウェアやliving-off-the-land（LotL）ツールを好んで使用するとされる。

初期アクセスは、盗難RDP認証情報を通じて初期アクセスが達成されている可能性が高いとみられている。アクセスが成功すると、その後メインのペイロード「servertool.exe」が手動でダウンロード・実行される。またThreatdownが観測したあるインシデントにおいては、正規RMMツール「RemotePC」とバックドア管理者アカウントが永続性確保に使われていたという。

Prinz Eugenの攻撃で使用されるGoベースのランサムウェアは、最も最近変更されたファイルの暗号化を優先的に行うことが明らかになっている。複数のファイルでタイムスタンプが同じだった場合は、アルファベット順に処理されることになる。この手法の目的は、業務上不可欠で現在も使用されている可能性の高いファイルを標的にすることで、被害者へ与える影響を最大化し、身代金の支払いを迫る圧力を高めることだろうとThreatdownは評価している。

Threatdownの研究者らは、この手法は、業務上不可欠で現在も使用されている可能性の高いファイルを標的にすることで、被害者への影響を最大化し、身代金の支払いを迫る圧力を高めることを目的としているとみている。

Prinz Eugenランサムウェアはランサムノートを投下したりデスクトップの壁紙を変更したりしないが、これは痕跡を残さないようにして、自動検知を困難にするための戦略だと考えられている。このアプローチは、組織化されたランサムウェアグループの間で最近より頻繁に見受けられるようになっているという。なお、Threatdownが把握しているケースでは、攻撃者が要求した身代金額は1 BTCだったとされる。

ThreatDownのブログ記事では、さらに詳しい解説と関連するIoCが確認できる。