){kind=small}
)
Um dos grupos de ransomware mais ativos de 2026 desenvolveu um conjunto de ferramentas próprias para desativar softwares de segurança – tudo antes de iniciar o processo de criptografia nos sistemas das vítimas. A descoberta é de pesquisadores da ESET, que analisaram o arsenal do The Gentlemen, uma operação de ransomware-as-a-service (RaaS). O kit foi batizado de GentleKiller.
A função do GentleKiller é simples de entender. Antes de o ransomware começar a criptografar os arquivos da vítima, ele entra em ação para apagar do caminho qualquer software de segurança que possa interromper o ataque.
Nossos vídeos em destaque
A ESET identificou que o framework mira mais de 400 processos de cerca de 48 produtos de segurança diferentes. Entre os alvos estão Microsoft Defender, CrowdStrike, Sophos e até ferramentas da própria ESET.
)
Como o GentleKiller consegue desativar um antivírus
Para entender o ataque, é preciso saber que um sistema operacional funciona em camadas. Os programas comuns, como navegadores e antivírus, operam em uma camada chamada "modo usuário". Já o kernel é o núcleo do sistema, a camada mais profunda, onde o sistema operacional tem controle total sobre o hardware.
O GentleKiller usa uma técnica chamada BYOVD, que significa "traga seu próprio driver vulnerável", em tradução livre. Um driver é um software que permite que o sistema operacional se comunique com um hardware ou componente específico.
O ataque funciona assim, o grupo carrega um driver legítimo, assinado digitalmente por um fabricante real, mas que contém uma falha de segurança conhecida. Por ser assinado, o Windows aceita o driver sem reclamar. Uma vez dentro do kernel, o GentleKiller usa essa falha para encerrar os processos de segurança a partir de dentro do núcleo do sistema.
Softwares de segurança que rodam no modo usuário não conseguem impedir ações que vêm do kernel.
)
Oito variantes, cada uma com um disfarce diferente
A ESET encontrou pelo menos oito variantes do GentleKiller. Cada uma abusa de um driver diferente e se disfarça de um produto legítimo, com nomes copiados de marcas conhecidas como Valorant, FACEIT e Kaspersky.
Para dificultar a detecção, os arquivos carregam informações de versão falsas, assinaturas digitais inválidas copiadas de outros softwares e ícones das marcas que imitam. Os binários ainda são empacotados com ferramentas comerciais para dificultar a análise.
)
O grupo também age rápido. Quando uma nova vulnerabilidade em um driver é divulgada publicamente, os operadores do The Gentlemen conseguem transformá-la em uma variante funcional do GentleKiller em poucos dias.
Um arsenal que vai além do GentleKiller
O que diferencia o The Gentlemen da maioria dos grupos de ransomware é que os próprios operadores constroem e mantêm as ferramentas de ataque. Na maior parte das operações RaaS, cada afiliado precisa encontrar suas próprias soluções para burlar sistemas de segurança.
O The Gentlemen oferece um portfólio completo. Além do GentleKiller, o grupo distribui o HexKiller, antes associado ao grupo Warlock; o ThrottleBlood, visto em ataques do MedusaLocker e do DragonForce; e o HavocKiller, que explora um driver de áudio da Huawei. As três ferramentas externas foram adaptadas com a camada de evasão padrão do grupo.
)
O grupo surgiu no final de 2025, fundado por um ex-afiliado do Qilin, e atrai parceiros com uma divisão de lucros de 90%, número incomum no setor. Ao contrário de muitos grupos, não concentra ataques nos Estados Unidos. Seus alvos estão distribuídos pelo Sudeste Asiático, América do Sul e Europa Ocidental, selecionados a partir de configurações expostas de dispositivos FortiGate.
Em maio deste ano, um vazamento de dados internos confirmou o modelo operacional. O líder do grupo discutia abertamente a manutenção dos pacotes de EDR killers.
O que os defensores podem fazer
)
A ESET afirma que entender como o GentleKiller funciona ajuda equipes de segurança a se prepararem mesmo para variantes ainda não criadas.
Na prática, as defesas contra ataques BYOVD passam por bloquear drivers com vulnerabilidades conhecidas e configurar alertas para quando um processo de segurança protegido for encerrado de forma inesperada. O sinal de alerta, nesse caso, é justamente o silêncio repentino do antivírus.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
