O grupo ransomware Gentlemen opera uma suíte de ferramentas chamada GentleKiller, capaz de desativar mais de 400 processos de 48 softwares de segurança, incluindo Microsoft, CrowdStrike e Kaspersky. Revelada pela ESET em junho de 2026, a ameaça já vitimou 504 organizações na Ásia, Europa e Américas.
Ativo desde março de 2025, o Gentlemen funciona como ransomware-as-a-service (RaaS) e se consolidou como uma das operações mais prolíficas do setor, ao lado de outras gangues de ransomware que investem em técnicas anti-forenses. Investigações do jornalista Brian Krebs e da firma PRODAFT identificaram o líder da gangue como o russo Alexander Andreevich Yapaev, de 36 anos, conhecido pelo alias “hastalamuerte”, que antes atuava como afiliado do grupo Qilin.
Como funciona o BYOVD
O GentleKiller emprega a técnica bring your own vulnerable driver (BYOVD), na qual o atacante carrega no sistema um driver legítimo mas com falhas conhecidas para obter privilégios de kernel. Com acesso ao núcleo do sistema operacional, a ferramenta encerra os processos de antivírus e EDR, deixando a rede indefesa enquanto ocorre o roubo de dados e a criptografia dos arquivos.
Os binários do GentleKiller são protegidos pelos empacotadores comerciais Enigma e Themida e utilizam nomes de arquivo, ícones e assinaturas digitais que imitam produtos de segurança reconhecidos. Embora as assinaturas sejam roubadas e inválidas, a estratégia dificulta a detecção heurística. A ESET destaca que o Gentlemen consegue integrar novos exploits de driver em questão de dias após a divulgação pública de proof-of-concept.
Variantes e drivers explorados
O GentleKiller possui oito variantes, cada uma baseada em um driver diferente. A arquitetura modular permite trocar drivers sem alterar o código principal, agilizando a adoção de novas falhas. A tabela abaixo lista as variantes documentadas pela ESET:
| Variante (produto imitado) | Driver vulnerável |
|---|---|
| Kaspersky | eb.sys |
| FACEIT Anti-Cheat | nseckrnl.sys |
| Valorant | GameDriverX64.sys |
| Javelin | stpm_old.sys / stpm_new.sys |
| WatchDog | dmx.sys |
| Network Blocker | 360netmon_wfp.sys |
| Cleaner | IMFForceDelete.sys |
| G11 | PoisonX.sys |
O driver “PoisonX.sys” já apareceu em campanhas recentes que desativaram o CrowdStrike Falcon, segundo a empresa Huntress. O escopo de alvo é amplo: 400 processos associados a 48 fabricantes, entre eles SentinelOne, Palo Alto, Sophos, Trend Micro, Bitdefender e McAfee/Trellix.
Arsenal completo de evasão
Além do GentleKiller, o Gentlemen distribui aos afiliados três ferramentas externas de EDR-killer para redundância e complexidade de atribuição: HexKiller (antes exclusivo do grupo Warlock), ThrottleBlood (ligado a MedusaLocker e DragonForce) e HavocKiller. A operação também usa o OxideHarvest, um ladrão de credenciais escrito em Rust que extrai dados de navegadores como Chrome, Edge, Firefox e Brave, adicionando mais uma camada de risco à cadeia de vazamento de credenciais que já preocupa o setor.
Os alvos são selecionados com base na configuração de endpoints FortiGate — um detalhe relevante diante do vazamento “FortiBleed”, que expôs credenciais de VPN de quase 74.000 dispositivos, e que somou-se a falhas críticas já exploradas ativamente em produtos Fortinet. O grupo já comprometeu a provedora de energia romena Oltenia e mantém uma botnet de proxy SystemBC com mais de 1.570 hosts, possivelmente vítimas corporativas.
Como reduzir o risco
- Atualize drivers e bloqueie os vulneráveis: adicione os drivers listados acima (PoisonX.sys, eb.sys, dmx.sys e outros) ao bloqueio de drivers do Windows Defender via GPO.
- Monitore criação de serviços de kernel: alerte sobre carregamento de drivers não assinados ou com assinatura inválida, sinal típico de BYOVD.
- Reforce o acesso ao FortiGate: altere credenciais de VPN comprometidas pelo FortiBleed e habilite autenticação multifator.
- Segmentação de rede: limite o movimento lateral caso o EDR seja desativado, separando servidores críticos em VLANs isoladas.
- Backups offline testados: mantenha cópias 3-2-1 e valide a restauração periodicamente para minimizar o impacto da criptografia.