O grupo ransomware Gentlemen, surgido no final de 2025, opera um kit centralizado de neutralização de EDR que combina três ferramentas — HexKiller, ThrottleBlood e HavocKiller — para desativar antivírus de 48 fabricantes antes de criptografar arquivos. Pesquisadores da ESET e da Group-IB detalharam como o grupo tornou-se uma das cinco operações mais ativas de ransomware no primeiro trimestre de 2026.
A operação atraiu uma rede robusta de afiliados ao oferecer 90% da receita dos resgates. A inteligência de ameaças da Group-IB atribui a fundação do grupo ao ator hastalamuerte, ex-afiliado do ransomware Qilin com ligações profundas a sindicatos estabelecidos. Pesquisadores da PRODAFT conectaram a operação a LockBit, Embargo, Medusa e BlackLock — uma genealogia que ajuda a explicar a sofisticação técnica do grupo.
Como o grupo opera
Diferente de operações que caçam empresas norte-americanas, a Gentlemen exibe uma vitimologia globalmente distribuída. Intrusões concentram-se no Sudeste Asiático, América do Sul e Europa Ocidental, com vítimas confirmadas em Tailândia, Brasil e França. A escolha dos alvos é técnica, não geográfica: operadores varrem a internet em busca de configurações vulneráveis em firewalls FortiGate e as usam como porta de entrada.
Após garantir acesso, o grupo executa um playbook de extorsão dupla: um criptografador escrito em Go atinge ambientes Windows e Linux, enquanto uma variante em C mira servidores ESXi. A exfiltração de dados precede a criptografia, dando aos atacantes duas alavancas de pressão sobre a vítima.
Kit GentleKiller desativa EDR
O núcleo do sucesso operacional da Gentlemen é o GentleKiller, um framework interno para desabilitar EDR documentado pela ESET em fevereiro de 2026. Pesquisadores identificaram pelo menos oito variantes da ferramenta. Cada iteração abusa de um driver diferente — vulnerável ou malicioso — mantendo um template padronizado de desenvolvimento com strings internas recorrentes, loops periódicos de terminação de processos e ofuscação uniforme de código.
O GentleKiller é agressivo: projetado para encerrar mais de 400 processos associados a 48 produtos de segurança distintos, incluindo CrowdStrike, SentinelOne, Microsoft Defender, Sophos, Kaspersky e ESET. Um ciclo de weaponização veloz integra exploits de prova de conceito BYOVD — como UnknownKiller e PoisonKiller — frequentemente em questão de dias após a divulgação pública.
Três ferramentas de evasão
Além do GentleKiller proprietário, a suíte estagiou três ferramentas externas de neutralização de EDR dentro do diretório GentlemenCollection, integradas por uma camada de evasão padronizada. A tabela resume os drivers abusados e a origem conhecida de cada uma:
| Ferramenta | Driver abusado | Origem conhecida |
|---|---|---|
| HexKiller | Baidu Antivirus (BdApi) | Gang Warlock |
| ThrottleBlood | TechPowerUp LLC (assinado) | MedusaLocker, DragonForce |
| HavocKiller | Huawei Audio (havoc.sys) | Huntress (mar/2026) |
Para maximizar a segurança operacional, a Gentlemen aplica uma estratégia unificada: binários empacotados com Enigma ou Themida, metadados de versão forjados, assinaturas digitais inválidas duplicadas e ícones que imitam fabricantes legítimos. Um afiliado conhecido como quant chegou a integrar o OxideHarvest, um ladrão de credenciais em Rust focado em navegadores Chromium e Gecko, distribuído sob o nome buildx641.exe.
Como detectar e se defender
Contra uma operação que integra novos exploits em dias, indicadores estáticos perdem valor rápido. Equipes de segurança devem priorizar detecção comportamental centrada em três sinais: abuso de drivers via técnica BYOVD, loops anômalos de terminação de processos e binários com ícones ou assinaturas que imitam fabricantes legítimos.
A defesa começa antes do ataque. Corrija configurações expostas em firewalls FortiGate e gateways VPN — o vetor de entrada preferido do grupo — e monitore acessos à interface administrativa. Bloqueie o carregamento de drivers não assinados ou vulneráveis por meio de políticas como Microsoft Vulnerable Driver Blocklist. Mantenha MFA em todas as contas privilegiadas e segmente a rede para conter movimentação lateral, prática igualmente decisiva contra grupos como o INC Ransomware, que aplica extorsão dupla similar.