2026-06-20 00:00
← VoltarA operação Gentlemen ransomware-as-a-service (RaaS) está desenvolvendo e mantendo ativamente um conjunto de assassinos de detecção e resposta de endpoint (EDR) que distribui aos afiliados por prejudicar as defesas do sistema antes de implantar o criptografador. Este portfólio maduro de ferramentas de terminação de EDR está centrado em uma estrutura conhecida como GentleKiller. “Eles também incorporam ferramentas de terceiros ou vazadas, como HexKiller, ThrottleBlood e HavocKiller”, disse o pesquisador de segurança da ESET Jakub Souček em um relatório compartilhado com o The Hacker News. “Essas ferramentas são padronizadas por meio de uma camada compartilhada de evasão de defesa, representando predominantemente fornecedores de segurança usando informações de versão falsas e copiando certificados e ícones legítimos”. A empresa eslovaca de segurança cibernética também convocou a equipe de ransomware por sua capacidade de “operacionalizar com rapidez incomum” explorações de prova de conceito (PoC) recentemente divulgadas relacionadas a uma técnica de ataque chamada traga seu próprio driver vulnerável (BYOVD), em muitos casos, poucos dias após seu lançamento público. Desde o seu surgimento em março de 2025, The Gentlemenhas subiu rapidamente na hierarquia e se tornou conhecido como um dos grupos de ransomware mais ativos. De acordo com dados do Ransomware.live, o grupo já fez 504 vítimas até o momento, a maioria delas localizada no Sudeste Asiático, América do Sul e Europa...
A operação Gentlemen ransomware-as-a-service (RaaS) está desenvolvendo e mantendo ativamente um conjunto de assassinos de detecção e resposta de endpoint (EDR) que distribui aos afiliados por prejudicar as defesas do sistema antes de implantar o criptografador. Este portfólio maduro de ferramentas de terminação de EDR está centrado em uma estrutura conhecida como GentleKiller. “Eles também incorporam ferramentas de terceiros ou vazadas, como HexKiller, ThrottleBlood e HavocKiller”, disse o pesquisador de segurança da ESET Jakub Souček em um relatório compartilhado com o The Hacker News. “Essas ferramentas são padronizadas por meio de uma camada compartilhada de evasão de defesa, representando predominantemente fornecedores de segurança usando informações de versão falsas e copiando certificados e ícones legítimos”. A empresa eslovaca de segurança cibernética também convocou a equipe de ransomware por sua capacidade de “operacionalizar com rapidez incomum” explorações de prova de conceito (PoC) recentemente divulgadas relacionadas a uma técnica de ataque chamada traga seu próprio driver vulnerável (BYOVD), em muitos casos, poucos dias após seu lançamento público. Desde o seu surgimento em março de 2025, The Gentlemenhas subiu rapidamente na hierarquia e se tornou conhecido como um dos grupos de ransomware mais ativos. De acordo com dados do Ransomware.live, o grupo já fez 504 vítimas até o momento, a maioria delas localizada no Sudeste Asiático, América do Sul e Europa Ocidental. Relatórios recentes do jornalista de segurança cibernética Brian Krebs e da PRODAFT revelaram que um cidadão russo de 36 anos chamado Alexander Andreevich Yapaev (também conhecido como hastalamuerte) tem liderado a operação, depois de atuar como afiliado de outros esquemas de ransomware, incluindo o Qilin.
A ESET descreveu The Gentlemen como um dos grupos RaaS mais tecnicamente ágeis, usando um conjunto de técnicas para garantir que as amostras assassinas de EDR compiladas evitem a detecção. Isso inclui proteção binária usando Enigma ou Themida e nomes de arquivos que se assemelham a fornecedores conhecidos de segurança cibernética, até suas informações de versão, assinaturas digitais e ícones. O mais comum deles é o GentleKiller, que vem em oito variantes diferentes, cada uma imitando um produto legítimo diferente e abusando de um driver vulnerável ou malicioso diferente como parte do ataque BYOVD. GentleKiller procura especificamente 400 processos associados a 48 programas de segurança distintos de vários fornecedores. A lista de drivers explorados por cada uma das variantes é a seguinte: vale a pena notar que o abuso de “PoisonX.sys” foi registrado nos últimos meses em conexão com vários ataques BYOVD, um dos quais foi usado para matar CrowdStrike Falcon EDR. Uma segunda campanha, detalhada pela Huntress, envolveu uma intrusão na qual agentes de ameaças desconhecidos aproveitaram o BeyondTrust Remote Support para implantar ransomware na rede com sucesso, mas não antes de encerrar as ferramentas de segurança via "PoisonX.sys" e "hrwfpdrv.sys". “Ao abstrair a camada de representação e os drivers específicos usados, o código subjacente revela inúmeras semelhanças estruturais e comportamentais que sugerem fortemente o uso de um modelo de desenvolvimento compartilhado”, disse Souček. "Este design prioriza a facilidade de implantação e a flexibilidade operacional para as afiliadas, ao mesmo tempo que minimiza o esforço de desenvolvimento para as operadoras.
Ele permite que as operadoras The Gentlemen integrem drivers abusados em seu conjunto de ferramentas logo após a divulgação de um PoC matador de EDR." Os assassinos EDR de terceiros baseados em BYOVD empregados pelo grupo estão abaixo - a ESET disse que também detectou um ladrão de credenciais baseado em Rust de codinome OxideHarvest (também conhecido como buildx641) que é capaz de coletar dados de navegadores populares, incluindo Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk e IceCat. “Embora a maioria das gangues de ransomware continuem a delegar a eliminação de EDR aos afiliados, a Gentlemen optou por centralizar essa função, oferecendo aos afiliados um conjunto de eliminação de EDR padronizado e pronto para uso”, disse a ESET. "Esta decisão torna a Gentlemen uma operadora atraente para afiliados, pois reduz materialmente a barreira de entrada para eles, tornando seu trabalho consequentemente mais fácil." A divulgação ocorre no momento em que o Centro de Coordenação CERT (CERT/CC) emitiu um comunicado sobre vários aplicativos UEFI assinados por fornecedores sendo vulneráveis ao desvio de inicialização segura por meio de um ataque BYOVD. O pesquisador da ESET Martin Smolár foi creditado por pesquisar e relatar a vulnerabilidade. Os aplicativos afetados são da Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba e Uniwill. "Se um sistema alvo confiar no certificado do fornecedor afetado, um invasor [com privilégios administrativos ou acesso físico] pode explorar esses aplicativos para executar código arbitrário durante a fase inicial de pré-inicialização, antes da inicialização do sistema operacional", disse CERT/CC "Para mitigar esse risco, os administradores de sistema devem aplicar atualizações ao UEFI Forbidden Signature Database (DBX) que revogam a confiança nos binários assinados pelo fornecedor afetado, evitando que esses aplicativos vulneráveis sejam executados durante o processo de inicialização. Aprenda como descobrir o uso oculto de IA, veja o que." dados que ele pode acessar, mapear cada ação de IA para um proprietário humano e aplicar governança prática sem grandes mudanças na infraestrutura Aprenda como conter ataques de IA no estilo Mythos com controles práticos de Zero Trust que reduzem a exposição, interrompem o movimento lateral e limitam o risco.