Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Estrutura de malware GentleKiller

Estrutura de malware GentleKiller

Por Mezo em Ameaça Persistente Avançada (APT), Ransomware
Traduzir Para:

A operação de ransomware como serviço (RaaS) Gentlemen está desenvolvendo e mantendo ativamente um conjunto abrangente de ferramentas de detecção e resposta de endpoints (EDR) que afiliados podem usar para desativar as proteções de segurança antes de implantar os criptografadores de ransomware.

No centro desse arsenal está uma estrutura conhecida como GentleKiller, suportada por diversas ferramentas de terceiros e vazadas, incluindo HexKiller, ThrottleBlood e HavocKiller. Esses utilitários são unificados por meio de uma estrutura comum de evasão de defesa que os disfarça como produtos de segurança legítimos, utilizando informações de versão falsas, certificados digitais copiados e ícones de aplicativos clonados.

Exploração rápida de vulnerabilidades recém-divulgadas

Uma das capacidades mais notáveis do grupo é a sua habilidade de operacionalizar rapidamente exploits de prova de conceito (PoC) recém-publicados, associados à técnica "Traga Seu Próprio Driver Vulnerável" (BYOVD). Em muitos casos, os exploits recém-divulgados são integrados ao conjunto de ferramentas do grupo em poucos dias após se tornarem públicos.

Essa abordagem de desenvolvimento simplificada fornece aos afiliados ferramentas altamente eficazes, ao mesmo tempo que reduz os requisitos de desenvolvimento para os próprios operadores. O modelo também permite que o grupo renove continuamente seu arsenal, incorporando novos drivers que apresentaram problemas quase imediatamente após a divulgação pública.

Crescimento acelerado do ecossistema de ransomware

Desde que surgiu em março de 2025, o grupo The Gentlemen rapidamente se tornou um dos grupos de ransomware mais ativos do mundo. A operação reivindicou a responsabilidade por 504 vítimas, com a maioria dos alvos localizados no Sudeste Asiático, América do Sul e Europa Ocidental.

Investigações recentes identificaram Alexander Andreevich Yapaev, um russo de 36 anos conhecido online como 'hastalamuerte', como o líder da operação. Antes de lançar o The Gentlemen, ele teria trabalhado como afiliado para diversos outros programas de ransomware, incluindo o Qilin.

Evasão avançada de EDR por meio de personificação e proteção binária

O Gentlemen é considerado uma das operações de RaaS (Robotics as a Service) mais ágeis tecnicamente em atividade atualmente. Seus desenvolvedores empregam diversas técnicas para garantir que os programas de eliminação de EDR (Enterprise Device Response) compilados evitem a detecção, incluindo mecanismos de proteção binária e o uso de nomes de arquivos projetados para se assemelharem aos de fornecedores de cibersegurança renomados. O engano se estende a informações de versão falsificadas, assinaturas digitais e ícones de aplicativos.

A ferramenta mais utilizada no arsenal, o GentleKiller, existe em oito variantes distintas. Cada versão imita um produto de segurança legítimo diferente e explora uma vulnerabilidade ou um driver malicioso específico como parte de uma cadeia de ataque BYOVD. A estrutura é capaz de identificar e atacar aproximadamente 400 processos associados a 48 soluções de segurança diferentes de diversos fornecedores.

O crescente abuso de motoristas vulneráveis

Nos últimos meses, houve um aumento no uso abusivo do driver PoisonX.sys em diversas campanhas de BYOVD (Bring Your Own Device). Em um incidente, o driver foi usado para encerrar a plataforma CrowdStrike Falcon EDR. Outra campanha envolveu invasores que exploraram o BeyondTrust Remote Support para implantar ransomware na rede da vítima, após desabilitar os produtos de segurança por meio dos drivers PoisonX.sys e hrwfpdrv.sys.

Mesmo quando se removem as diferenças de marca e seleção de drivers, o código subjacente desses bloqueadores de EDR demonstra semelhanças estruturais e comportamentais significativas, indicando fortemente o uso de um modelo de desenvolvimento compartilhado.

Eliminadores de EDR de terceiros integrados ao arsenal

O kit de ferramentas Gentlemen's incorpora vários dispositivos externos que eliminam problemas de EDR baseados em BYOVD:

  • HexKiller (googleApiUtil64.sys), anteriormente considerado exclusivo do grupo de ransomware Warlock.
  • ThrottleBlood (ThrottleBlood.sys), observado em ataques ligados a afiliados da MedusaLocker e da DragonForce, e HavocKiller ou HwAudKiller (havoc.sys).
  • OxideHarvest amplia a ameaça para além do ransomware.

Pesquisadores também identificaram um malware baseado em Rust, chamado OxideHarvest, também conhecido como buildx641, capaz de roubar credenciais. Esse malware consegue coletar informações confidenciais de diversos navegadores populares, incluindo:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk e IceCat.

Um modelo centralizado que atrai afiliados

Enquanto muitos grupos de ransomware deixam as operações de evasão de EDR para seus afiliados, o The Gentlemen optou por centralizar essa capacidade, fornecendo aos afiliados um conjunto de ferramentas prontas para uso e padronizadas para eliminar ataques de EDR. Essa estratégia reduz significativamente a barreira técnica de entrada para os afiliados, simplifica a implantação de ransomware e aumenta a atratividade geral da operação dentro do ecossistema cibercriminoso.

Mais visto

Carregando...