A operação RaaS mantém um portfólio padronizado de ferramentas anti-EDR baseadas em BYOVD, com oito variantes do GentleKiller e integração rápida de provas de conceito públicas antes do ransomware
| Componente | Operação RaaS The Gentlemen; framework GentleKiller (oito variantes); ferramentas HexKiller, ThrottleBlood e HavocKiller; stealer Rust OxideHarvest (também citado como buildx641) |
| Vetor | Carregamento de drivers vulneráveis ou maliciosos via técnica BYOVD, com camada compartilhada de evasão que imita produtos legítimos de segurança por nome, versão, ícone e certificado; entrega padronizada a afiliados antes do encryptor |
| Impacto | Encerramento de até 400 processos associados a 48 programas de segurança distintos; redução da visibilidade defensiva em endpoints; coleta de credenciais em navegadores populares; preparação do ambiente para criptografia por ransomware |
| Prioridade | Monitorar carregamento de drivers kernel não autorizados, validar assinaturas e metadados de binários que imitam fornecedores de EDR, caçar padrões BYOVD e reforçar controles de boot com atualizações DBX quando aplicável |
| Artefatos | Drivers citados incluem PoisonX[.]sys, hrwfpdrv[.]sys, googleApiUtil64[.]sys (HexKiller) e ThrottleBlood[.]sys; proteção de binários com Enigma ou Themida |
| Mitigação | Restringir drivers em modo kernel, auditar ferramentas de suporte remoto usadas em intrusões, revisar telemetria de processos de segurança encerrados e aplicar revogações UEFI DBX para aplicações de fabricantes afetados |
A operação de ransomware como serviço conhecida como The Gentlemen desenvolve e mantém ativamente um conjunto de ferramentas projetadas para neutralizar soluções de detecção e resposta em endpoint antes da implantação do encryptor. O núcleo desse portfólio é um framework denominado GentleKiller, complementado por utilitários de terceiros ou vazados, entre eles HexKiller, ThrottleBlood e HavocKiller, segundo análise divulgada por pesquisadores da ESET.
Essas ferramentas compartilham uma camada padronizada de evasão defensiva: os binários imitam predominantemente fornecedores de segurança, reproduzindo informações de versão falsas e reutilizando certificados e ícones legítimos copiados. A padronização reduz o esforço de desenvolvimento dos operadores e amplia a flexibilidade operacional dos afiliados, que recebem um kit pronto para enfraquecer defesas locais antes da fase de extorsão.
Desde o surgimento em março de 2025, o grupo escalou rapidamente entre as operações RaaS mais ativas. Dados agregados em Ransomware.live indicam 504 vítimas reivindicadas até o momento, com concentração em Sudeste Asiático, América do Sul e Europa Ocidental. Relatos recentes de jornalismo e threat intelligence associam a liderança da operação a Alexander Andreevich Yapaev, também referido como hastalamuerte, após atuação prévia como afiliado de outros esquemas, incluindo Qilin.
A ESET classifica The Gentlemen entre os grupos RaaS mais ágeis tecnicamente. Um diferencial relevante é a centralização da função de neutralização de EDR: enquanto muitas gangues delegam essa etapa aos afiliados, The Gentlemen oferece um pacote homogêneo, reduzindo a barreira de entrada para parceiros e acelerando campanhas. Paralelamente, a operação demonstrou capacidade de incorporar em poucos dias provas de conceito públicas ligadas à técnica bring your own vulnerable driver, frequentemente pouco depois da divulgação inicial.
O GentleKiller concentra a estratégia principal de desativação de EDR. Existem oito variantes conhecidas, cada uma disfarçada como um produto legítimo diferente e abusando de um driver vulnerável ou malicioso distinto no contexto BYOVD. Ao abstrair a camada de impersonação e o driver específico, a análise aponta semelhanças estruturais e comportamentais consistentes com um template de desenvolvimento compartilhado, o que explica a rapidez com que novos drivers abusados entram no arsenal após a publicação de novas provas de conceito.
O framework procura e encerra até 400 processos ligados a 48 programas de segurança distintos de diversos fornecedores. A etapa ocorre antes da execução do ransomware, com o objetivo explícito de remover telemetria, bloqueio de processos e resposta automatizada que poderiam interromper a criptografia ou preservar evidências. Os binários frequentemente recebem proteção com Enigma ou Themida, e nomes de arquivo imitam produtos conhecidos de cibersegurança, reforçando a tentativa de misturar-se a software legítimo em ambientes corporativos.
Entre os drivers citados em campanhas relacionadas, o uso de PoisonX[.]sys apareceu em ataques BYOVD recentes, inclusive em cenário associado ao encerramento do EDR CrowdStrike Falcon. Em outro relato documentado pela Huntress, atores desconhecidos exploraram BeyondTrust Remote Support para implantar ransomware em uma rede, mas somente após encerrar ferramentas de segurança por meio de PoisonX[.]sys e hrwfpdrv[.]sys. HexKiller, identificado pelo driver googleApiUtil64[.]sys, antes era atribuído de forma exclusiva à gangue Warlock; ThrottleBlood, ligado a ThrottleBlood[.]sys, já foi observado em ataques conduzidos por afiliados de MedusaLocker e DragonForce. HavocKiller integra o conjunto citado pela ESET, embora o material analisado não detalhe driver ou campanha específica associada.
Além do portfólio anti-EDR, pesquisadores detectaram um coletor de credenciais escrito em Rust, apelidado OxideHarvest e também referenciado como buildx641. O malware extrai dados de navegadores amplamente usados, incluindo Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk e IceCat. A combinação de roubo de credenciais de navegador com desativação sistemática de EDR compõe uma cadeia típica de preparação de endpoint: ampliar acesso, reduzir visibilidade e só então executar o encryptor.
O mesmo ecossistema de pesquisa também registrou um aviso do CERT Coordination Center sobre múltiplas aplicações UEFI assinadas por fabricantes vulneráveis a bypass de Secure Boot via BYOVD. O trabalho foi creditado ao pesquisador da ESET Martin Smolár. Aplicações afetadas pertencem a Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba e Uniwill. Em sistemas que confiam no certificado do fabricante, um atacante com privilégios administrativos ou acesso físico pode executar código arbitrário em fase pré-boot, antes da inicialização do sistema operacional.
A superfície primária são estáções e servidores Windows protegidos por EDR comercial, onde afiliados da operação implantam o kit anti-EDR antes do ransomware. Organizações em regiões com maior volume de vítimas reivindicadas — Sudeste Asiático, América do Sul e Europa Ocidental — aparecem com maior frequência nos dados públicos de extorsão, embora o modelo RaaS não limite geograficamente o abuso das ferramentas.
Ambientes que permitem carregamento de drivers kernel sem validação rigorosa, ou que confiam em binários que imitam fornecedores de segurança, ficam especialmente expostos à cadeia GentleKiller e derivados. A presença de ferramentas de suporte remoto como vetor inicial, conforme o caso BeyondTrust documentado, amplia o risco em infraestruturas que concentram acesso privilegiado sem monitoração equivalente.
- Até 400 processos de 48 produtos de segurança distintos são alvos diretos do GentleKiller
- Oito variantes do framework, cada uma com driver BYOVD e disfarce de produto legítimo diferente
- Navegadores listados no OxideHarvest, incluindo Chrome, Edge, Firefox, Brave, Opera e derivados
- Estáções com Secure Boot e certificados de fabricantes Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba e Uniwill, quando aplicações UEFI vulneráveis permanecem confiáveis
A detecção eficaz exige correlacionar eventos de carregamento de driver, encerramento anômalo de processos de segurança e implantação subsequente de binários de ransomware. Como os matadores de EDR imitam fornecedores reais, a defesa não deve confiar apenas em nome de arquivo, ícone ou metadados de versão; é necessário validar hash, cadeia de assinatura, caminho de implantação e parent process.
A rapidez com que The Gentlemen absorve provas de conceito BYOVD públicas implica que regras estáticas baseadas em um único driver rapidamente ficam obsoletas. Equipes de monitoração devem priorizar classes de comportamento: drivers recém-carregados de origem não usual, tentativas repetidas de finalizar serviços de EDR e sequências em que suporte remoto precede desativação de agentes de segurança.
- Carregamento de drivers citados em campanhas BYOVD, como PoisonX[.]sys, hrwfpdrv[.]sys, googleApiUtil64[.]sys e ThrottleBlood[.]sys, fora de inventários autorizados
- Encerramento em massa ou sequencial de processos associados a EDR, antivírus e ferramentas de resposta
- Binários protegidos com empacotadores como Enigma ou Themida exibindo metadados que imitam produtos de segurança conhecidos
- Atividade de coleta em perfis de navegador compatível com OxideHarvest após comprometimento inicial
- Sessões de suporte remoto privilegiado seguidas de queda de telemetria defensiva e implantação de encryptor
A resposta deve começar pelo endurecimento contra BYOVD: políticas que restrinjam quais drivers podem ser carregados, monitoração de integridade de kernel e bloqueio de drivers vulneráveis conhecidos reduzem a eficácia do GentleKiller e ferramentas correlatas. Como a operação depende de padronização para escalar afiliados, quebras na etapa de carregamento de driver frequentemente impedem toda a cadeia subsequente.
Em paralelo, administradores de sistemas afetados pelo aviso CERT/CC devem aplicar atualizações ao banco de assinaturas proibidas UEFI (DBX) que revoguem confiança nos binários vulneráveis assinados pelos fabricantes listados, impedindo execução dessas aplicações durante o boot. Isso não substitui controles em runtime, mas fecha uma superfície distinta de execução pré-boot explorável com privilégio administrativo ou acesso físico.
Após suspeita de comprometimento, a contenção deve presumir coleta de credenciais de navegador pelo OxideHarvest e considerar rotação de senhas e tokens armazenados localmente, além de revisar acessos originados de estáções onde processos de segurança foram encerrados. A reimplantação de agentes EDR deve ser acompanhada de verificação de drivers residuais e de binários que imitam software legítimo de segurança.
- Implementar e auditar políticas de bloqueio de drivers vulneráveis e monitorar carregamentos kernel anômalos
- Validar assinatura, hash e proveniência de binários que aparentam ser de fornecedores de EDR
- Aplicar revogações DBX para aplicações UEFI dos fabricantes citados no aviso CERT/CC
- Investigar uso de suporte remoto privilegiado como precursor de desativação de EDR
- Presumir exposição de credenciais de navegador e executar rotação coordenada após identificar OxideHarvest ou padrões compatíveis
0 Comentários