Artigos

Ransomware Gentlemen usa BYOVD para derrubar EDRs

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Seguir

O ransomware Gentlemen representa uma nova geração de ameaças digitais que não se limita apenas a criptografar arquivos. Antes mesmo de iniciar a fase de extorsão, os operadores do grupo investem em mecanismos capazes de neutralizar as defesas corporativas, tornando a detecção e a resposta muito mais difíceis.

Uma recente investigação da ESET revelou detalhes preocupantes sobre o ecossistema operacional do grupo, incluindo o uso da ferramenta GentleKiller, projetada para desativar soluções de segurança como antivírus, EDRs e plataformas de monitoramento empresarial. A descoberta demonstra como os ataques modernos de ransomware estão evoluindo para operações altamente especializadas e organizadas.

Neste artigo, você entenderá como funciona o GentleKiller, o papel da técnica BYOVD (Bring Your Own Vulnerable Driver), os riscos para ambientes corporativos e a ligação do grupo com credenciais vazadas em incidentes envolvendo dispositivos FortiGate.

O que é um EDR killer e como funciona o GentleKiller

Nos ataques de ransomware mais sofisticados, a criptografia dos dados é apenas a etapa final. Antes disso, os criminosos buscam eliminar qualquer mecanismo capaz de detectar ou bloquear suas ações.

É justamente nesse contexto que surgem os chamados EDR killers, ferramentas desenvolvidas para interromper ou desativar soluções de segurança instaladas nos sistemas comprometidos.

Segundo a pesquisa da ESET, o GentleKiller é uma dessas ferramentas. O componente foi criado para interromper processos relacionados a antivírus, sistemas de proteção de endpoint e plataformas de detecção e resposta corporativa.

Um detalhe interessante é que os pesquisadores identificaram oito variantes diferentes do GentleKiller, muitas delas utilizando nomes que simulam produtos legítimos ou empresas conhecidas de segurança. Essa estratégia busca dificultar análises e reduzir suspeitas durante a execução da ameaça.

Na prática, o objetivo é simples: criar um ambiente sem proteção para que o ransomware Gentlemen execute suas atividades sem interferência.

Ransomware

A técnica BYOVD: Trazendo o próprio driver vulnerável

O elemento mais perigoso do GentleKiller é sua utilização da técnica BYOVD (Bring Your Own Vulnerable Driver).

Embora o nome pareça complexo, o conceito pode ser explicado de forma relativamente simples.

Normalmente, softwares de segurança operam com privilégios elevados e possuem mecanismos de autoproteção. Isso impede que processos comuns consigam encerrá-los ou manipulá-los.

Para contornar essa barreira, os criminosos carregam no sistema um driver legítimo, porém vulnerável, que já possui assinatura válida e pode ser aceito pelo sistema operacional.

Uma vez carregado, esse driver oferece acesso em nível de kernel, a camada mais privilegiada do sistema operacional.

Com esse acesso, os atacantes conseguem:

  • Encerrar processos protegidos;
  • Desabilitar mecanismos de segurança;
  • Manipular componentes do sistema;
  • Ignorar restrições impostas pelos EDRs;
  • Obter controle avançado sobre o equipamento comprometido.

O BYOVD tornou-se uma das técnicas favoritas de grupos de ransomware justamente porque explora componentes legítimos, dificultando a identificação da atividade maliciosa.

Para administradores de sistemas, isso representa um desafio significativo, já que a ameaça não depende necessariamente de malware tradicional para obter privilégios elevados.

Alvos em larga escala: Mais de 400 processos na mira

Outro aspecto impressionante identificado pela ESET é a abrangência da lista de alvos mantida pelo GentleKiller.

A ferramenta possui capacidade para atacar mais de 400 processos diferentes, abrangendo produtos amplamente utilizados em ambientes corporativos.

Entre os fornecedores afetados estão soluções de empresas como:

  • CrowdStrike;
  • SentinelOne;
  • Microsoft;
  • ESET;
  • Sophos;
  • Trend Micro;
  • Bitdefender;
  • McAfee;
  • Symantec.

Essa abordagem amplia significativamente as chances de sucesso dos operadores do ransomware Gentlemen, independentemente da plataforma de segurança utilizada pela organização.

Quanto maior a compatibilidade da ferramenta com diferentes produtos, maior o potencial de impacto dos ataques.

Redundância e roubo de credenciais: O arsenal estendido do ransomware Gentlemen

A investigação também revelou que o ecossistema do grupo vai muito além do GentleKiller.

Os operadores utilizam múltiplas ferramentas com funções semelhantes para garantir redundância operacional. Caso uma delas seja detectada ou bloqueada, outra pode assumir sua função.

Entre as ferramentas identificadas estão:

  • HexKiller;
  • ThrottleBlood;
  • HavocKiller.

Todas possuem objetivos relacionados à neutralização de mecanismos defensivos ou à preparação do ambiente para a execução do ransomware.

Além disso, os pesquisadores observaram o uso de uma ferramenta chamada OxideHarvest, desenvolvida na linguagem Rust.

Sua função principal é realizar o roubo de informações sensíveis, incluindo:

  • Credenciais armazenadas;
  • Dados de autenticação;
  • Informações de navegadores;
  • Arquivos corporativos estratégicos.

Esse comportamento reforça uma tendência cada vez mais comum no cenário atual: a dupla extorsão.

Nesse modelo, os criminosos não dependem apenas da criptografia dos arquivos. Antes disso, eles roubam dados da vítima e ameaçam divulgá-los publicamente caso o resgate não seja pago.

A conexão com o FortiBleed e o impacto para administradores

Um dos pontos mais preocupantes destacados pelos pesquisadores envolve a possível utilização de credenciais expostas em incidentes relacionados ao FortiBleed.

O caso ficou conhecido após o vazamento massivo de informações associadas a dispositivos FortiGate, incluindo credenciais de acesso remoto utilizadas por diversas organizações.

Quando credenciais válidas são obtidas, os atacantes conseguem evitar etapas tradicionais de invasão, acessando diretamente recursos corporativos legítimos.

Para administradores de infraestrutura, isso reforça a importância de medidas como:

  • Rotação periódica de senhas administrativas;
  • Implementação de autenticação multifator (MFA);
  • Monitoramento contínuo de acessos VPN;
  • Auditoria de contas privilegiadas;
  • Bloqueio de drivers vulneráveis conhecidos;
  • Aplicação rápida de correções de segurança;
  • Monitoramento de carregamento de drivers em endpoints críticos.

Outra recomendação importante é utilizar recursos modernos de proteção do Windows e de plataformas EDR capazes de identificar tentativas de exploração envolvendo BYOVD.

Muitas organizações concentram seus esforços apenas na detecção do ransomware, mas o cenário atual exige atenção especial às etapas anteriores do ataque, especialmente aquelas voltadas à desativação das defesas.

Conclusão

A descoberta da ESET mostra que o ransomware Gentlemen não é apenas mais uma operação de extorsão digital. O grupo opera um ecossistema completo de ferramentas especializadas, capaz de desarmar mecanismos de proteção, obter privilégios avançados e roubar dados antes mesmo da criptografia ocorrer.

O uso do GentleKiller e da técnica BYOVD evidencia uma mudança importante no cenário das ameaças modernas: os criminosos estão investindo cada vez mais em ferramentas que atacam diretamente as camadas de defesa das organizações.

Para equipes de TI, administradores de sistemas e profissionais de segurança, a principal lição é clara: proteger apenas os dados já não basta. É fundamental monitorar drivers, controlar privilégios, fortalecer a autenticação e acompanhar continuamente o comportamento dos endpoints.

Compartilhe este artigo
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Seguir
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.
CibersegurançaNotícias

Falha no Splunk Enterprise é explorada ativamente; veja como corrigir

zPlvcrfg falha no splunk enterprise cve 2026 20253 2

CISA emite alerta urgente sobre vulnerabilidade crítica no Splunk Enterprise sendo explorada ativamente.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto