O grupo de ransomware The Gentlemen desenvolve e mantém internamente um pacote de ferramentas para desativar soluções EDR, chamado GentleKiller, que atinge mais de 400 processos de segurança em 48 produtos diferentes. A ferramenta é fornecida diretamente aos afiliados do grupo, eliminando a necessidade de conhecimento técnico para neutralizar defesas antes da criptografia.
O que é o GentleKiller
O GentleKiller é um framework proprietário desenvolvido pelos operadores do The Gentlemen para desligar agentes de Endpoint Detection and Response. Segundo a pesquisa da ESET, o framework existe em pelo menos oito variantes, cada uma se passando por um produto legítimo diferente e abusando de um driver de kernel vulnerável distinto. O código compartilhado entre as variantes — strings comuns, loop de término de processos por timer e a mesma camada de ofuscação — confirma que se trata de um modelo de desenvolvimento reutilizável.
O conjunto alvo do GentleKiller abrange mais de 400 nomes de processos ligados a 48 produtos de segurança, incluindo soluções da CrowdStrike, SentinelOne, Microsoft Defender, Sophos e Palo Alto. A tabela abaixo resume as categorias de ferramentas que compõem o portfólio:
| Categoria | Ferramenta | Origem | Alvo |
|---|---|---|---|
| Framework interno | GentleKiller | Desenvolvido pelo grupo | 400+ processos, 48 produtos |
| Adaptação externa | HexKiller | Warlock gang | EDR específico |
| Adaptação externa | ThrottleBlood | MedusaLocker / DragonForce | EDR específico |
| Adaptação externa | HavocKiller | Público (Huntress) | EDR específico |
Modelo de negócio do The Gentlemen
Diferente da maioria das operações ransomware-as-a-service, onde afiliados devem desenvolver ou adquirir suas próprias ferramentas anti-EDR, o The Gentlemen fornece o pacote completo. Segundo dados vazados em maio de 2026 — quando o próprio grupo sofreu uma invasão em sua infraestrutura — os operadores mantêm uma equipe dedicada ao desenvolvimento e atualização do GentleKiller.
A pesquisa da Check Point Research revelou que o grupo utiliza cerca de 30 ferramentas diferentes durante uma intrusão. O GentleKiller opera como camada de evasão padronizada, aplicada inclusive a binários cujo código-fonte o grupo não possui, por meio de uma técnica de empacotamento compartilhada que adiciona nomes falsos de vendors e assinaturas digitais fabricadas.
Integração de PoCs públicos
Um dos aspectos mais preocupantes do GentleKiller é a velocidade de integração de novas técnicas. Quando vulnerabilidades em drivers são divulgadas publicamente como PoCs — como UnknownKiller e PoisonKiller — os operadores do The Gentlemen dobram essas ferramentas em seu portfólio em questão de dias. Isso reduz drasticamente o ciclo entre a publicação de uma vulnerabilidade e sua weaponização ativa no campo.
Como se proteger contra EDR killers
- Monitore drivers carregados: Implemente políticas de assinatura de drivers no Windows (WDAC ou similar) para impedir a carga de drivers sem assinatura confiável — a maioria dos EDR killers depende de drivers vulneráveis.
- Deteção comportamental de terminação em massa: Configure alertas quando múltiplos processos de segurança forem encerrados em sequência curta, o que indica uso de EDR killer.
- Defesa em camadas nos endpoints: Não dependa exclusivamente do EDR. Combinesolução EDR com proteção baseada em hardware (como Credential Guard) e monitoramento de integridade do kernel.
- Patches de drivers prioritários: Acompanhe divulgações de BYOVD (Bring Your Own Vulnerable Driver) e aplique patches de fornecedores de segurança assim que disponíveis.
Fontes
Help Net Security — GentleKiller targets more than 400 security processes across 48 products
Apolo Cybersecurity — The Gentlemen’s Leaked Internal Chats Reveal