A operação de ransomware como serviço chamada The Gentlemen está desenvolvendo e mantendo ativamente um conjunto de ferramentas para derrubar soluções de detecção e resposta em endpoints, as chamadas EDR.
Essas ferramentas são distribuídas aos afiliados para enfraquecer as defesas do sistema antes da execução do criptografador.
Esse portfólio maduro de utilitários para encerrar EDR gira em torno de um framework conhecido como GentleKiller.
“Eles também incorporam ferramentas de terceiros ou vazadas, como HexKiller, ThrottleBlood e HavocKiller”, disse o pesquisador de segurança da ESET Jakub Souček em relatório compartilhado.
“Essas ferramentas são padronizadas por meio de uma camada comum de evasão de defesa, se passando principalmente por fornecedores de segurança com informações falsas de versão e certificados e ícones legítimos copiados.”
A empresa eslovaca de cibersegurança também chamou atenção para a capacidade do grupo de “operacionalizar de forma incomumente rápida” exploits de prova de conceito recém-divulgados relacionados a uma técnica de ataque conhecida como bring your own vulnerable driver, ou BYOVD.
Em muitos casos, isso acontece em poucos dias após a divulgação pública.
Desde que surgiu em março de 2025, The Gentlemen avançou rapidamente e passou a ser considerado um dos grupos de ransomware mais ativos.
Segundo dados do Ransomware.live, o grupo já reivindicou 504 vítimas até o momento, com a maior parte localizada no Sudeste Asiático, na América do Sul e na Europa Ocidental.
Relatórios recentes do jornalista de cibersegurança Brian Krebs e da PRODAFT revelaram que a operação é liderada por um cidadão russo de 36 anos chamado Alexander Andreevich Yapaev, também conhecido como hastalamuerte, após atuar como afiliado de outros esquemas de ransomware, incluindo o Qilin.
A ESET descreveu The Gentlemen como um dos grupos de RaaS mais ágeis do ponto de vista técnico, usando um conjunto de técnicas para garantir que as amostras compiladas dos EDR killers escapem da detecção.
Isso inclui proteção binária com Enigma ou Themida e o uso de nomes de arquivo que imitam fornecedores conhecidos de cibersegurança, além de informações de versão, assinaturas digitais e ícones.
O mais disseminado deles é o GentleKiller, que existe em oito variantes diferentes, cada uma imitando um produto legítimo distinto e abusando de um driver vulnerável ou malicioso diferente como parte do ataque BYOVD.
O GentleKiller procura especificamente 400 processos associados a 48 programas de segurança de diferentes fornecedores.
A lista de drivers explorados por cada variante é a seguinte:
Kaspersky (“eb.sys”)
FACEIT Anti-Cheat (“nseckrnl.sys”)
Valorant (“GameDriverX64.sys”)
Javelin (“stpm_old.sys” ou “stpm_new.sys”)
WatchDog (“dmx.sys”)
Network Blocker (“360netmon_wfp.sys”)
Cleaner (“IMFForceDelete.sys”)
G11 (“PoisonX.sys”)
Vale destacar que o abuso de “PoisonX.sys” foi registrado nos últimos meses em conexão com diversos ataques BYOVD, incluindo um deles usado para desativar o CrowdStrike Falcon EDR.
Uma segunda campanha, detalhada pela Huntress, envolveu uma intrusão em que threat actors desconhecidos exploraram o BeyondTrust Remote Support para implantar ransomware com sucesso na rede, mas não antes de encerrar ferramentas de segurança por meio de “PoisonX.sys” e “hrwfpdrv.sys”.
“Ao abstrair a camada de falsificação e os drivers específicos usados, o código subjacente revela inúmeras semelhanças estruturais e comportamentais que sugerem fortemente o uso de um modelo de desenvolvimento compartilhado”, disse Souček.
“Esse projeto prioriza a facilidade de implantação e a flexibilidade operacional para os afiliados, ao mesmo tempo que minimiza o esforço de desenvolvimento para os operadores.
Isso permite que os operadores do The Gentlemen integrem drivers abusados ao seu conjunto de ferramentas pouco tempo depois da divulgação de um PoC de EDR killer.”
Os EDR killers de terceiros baseados em BYOVD usados pelo grupo são os seguintes:
HexKiller (“googleApiUtil64.sys”), uma ferramenta que antes se acreditava ser exclusiva da quadrilha de ransomware Warlock
ThrottleBlood (“ThrottleBlood.sys”), uma ferramenta observada em ataques conduzidos por afiliados do MedusaLocker e do DragonForce
HavocKiller ou HwAudKiller (“havoc.sys”)
A ESET também informou ter detectado um ladrão de credenciais em Rust, codinome OxideHarvest, também identificado como buildx641, capaz de coletar dados de navegadores populares, incluindo Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk e IceCat.
“Enquanto a maioria das quadrilhas de ransomware continua delegando a eliminação de EDR aos afiliados, o Gentlemen optou por centralizar essa função ao oferecer aos afiliados um conjunto de EDR killers padronizado e pronto para uso”, afirmou a ESET.
“Essa decisão torna o Gentlemen um operador atraente para afiliados, pois reduz materialmente a barreira de entrada para eles, facilitando significativamente o trabalho.”
A divulgação ocorre no momento em que o CERT Coordination Center, o CERT/CC, publicou um alerta sobre múltiplos aplicativos UEFI assinados por fornecedores que estão vulneráveis à quebra do Secure Boot por meio de um ataque BYOVD.
O pesquisador da ESET Martin Smolár recebeu crédito pela pesquisa e pela comunicação da vulnerabilidade.
Os aplicativos afetados são da Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba e Uniwill.
“Se um sistema-alvo confiar no certificado do fornecedor afetado, um invasor com privilégios administrativos ou acesso físico pode explorar esses aplicativos para executar código arbitrário durante a fase inicial de pré-inicialização, antes de o sistema operacional ser carregado”, afirmou o CERT/CC.
“Para mitigar esse risco, os administradores de sistema devem aplicar atualizações ao Banco de Assinaturas Proibidas da UEFI, o DBX, revogando a confiança nos binários assinados pelos fornecedores afetados e impedindo que esses aplicativos vulneráveis sejam executados durante o processo de inicialização.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...