Um framework altamente sofisticado de eliminação de EDR, denominado GentleKiller, foi utilizado pela gangue de ransomware-as-a-service (RaaS) Gentlemen para desabilitar sistematicamente ferramentas de segurança de endpoint antes de implantar sua carga útil de ransomware. As descobertas da ESET, publicadas em 17 de junho de 2026, detalham como o Gentlemen, uma das gangues de ransomware mais ativas no primeiro trimestre de 2026, fornece a afiliados um conjunto centralizado de eliminadores de EDR mantido pelo operador, um modelo raro mesmo entre operações de ransomware de alto nível.
O que é o GentleKiller e como funciona
O GentleKiller é um framework de eliminação de EDR interno com pelo menos oito variantes distintas, cada uma impersonando um produto de segurança legítimo diferente e abusando de um driver de nível de kernel vulnerável ou malicioso único. A técnica utilizada é Bring Your Own Vulnerable Driver (BYOVD), carregando um driver legítimamente assinado mas explorável para terminar processos de segurança no nível do kernel, contornando proteções de modo de usuário.
Em total, o GentleKiller visa mais de 400 processos mapeados para 48 produtos de segurança, incluindo líderes da indústria como Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Palo Alto Networks, ESET, Bitdefender, Kaspersky e McAfee/Trellix. O framework opera em um loop, escaneando e terminando processos alvo periodicamente a cada dois segundos.
Vetor e exploração de drivers vulneráveis
As oito variantes do GentleKiller abusam de drivers de Kaspersky (eb.sys), FACEIT Anti-Cheat (nseckrnl.sys), Valorant (GameDriverX64.sys), Javelin/Safetica (stpm_old.sys/stpm_new.sys), Zemana WatchDog (dmx.sys), Qihoo 360 (360netmon_wfp.sys), IObit (IMFForceDelete) e do rootkit PoisonX. Uma capacidade definidora do Gentlemen é sua habilidade de operacionalizar exploits de prova de conceito (PoC) de BYOVD recém-publicados dentro de dias de seu lançamento público.
Ferramentas como UnknownKiller e PoisonKiller foram incorporadas ao arsenal do GentleKiller dentro de dias de sua divulgação pública no GitHub, demonstrando um pipeline de desenvolvimento bem financiado e ágil, segundo a pesquisa da ESET. Essa adoção rápida distingue o Gentlemen da maioria dos outros operadores de RaaS, que tipicamente esperam semanas ou meses antes de adaptar exploits de código aberto em ferramentas prontas para produção.
Ferramentas de terceiros integradas ao arsenal
Além do GentleKiller, o Gentlemen também integra três eliminadores de EDR de fonte externa em seu conjunto voltado para afiliados:
- HexKiller — Anteriormente atribuído exclusivamente à gangue Warlock; abusa de um driver de antivírus Baidu BdApi (googleApiUtil64.sys)
- ThrottleBlood — Observado anteriormente em intrusões MedusaLocker e DragonForce; abusa de um driver da TechPowerUp LLC (ThrottleBlood.sys)
- HavocKiller — Primeiro divulgado publicamente pela Huntress em 19 de março de 2026, mas observado em intrusões do mundo real desde 23 de janeiro de 2026; abusa de um driver de áudio Huawei (havoc.sys)
Todas as três ferramentas são padronizadas através de uma camada de evasão de defesa compartilhada que aplica protetores de binário Enigma ou Themida, impersona fornecedores de segurança com informações de versão fabricadas, assinaturas digitais copiadas e ícones correspondentes. O gangue aplica sua estratégia de evasão no nível do binário compilado, permitindo proteger até eliminadores de EDR para os quais não possui o código-fonte.
Impacto nos principais produtos de segurança
A capacidade do framework de desabilitar mais de 400 processos de segurança representa um risco operacional significativo para organizações que dependem de soluções de endpoint para proteção. A exploração de drivers assinados legítimos permite que o malware contorne verificações de integridade e assinaturas digitais, tornando a detecção baseada em assinatura tradicional ineficaz. O ataque visa especificamente processos de segurança de alto nível, garantindo que as ferramentas de resposta a incidentes e monitoramento sejam neutralizadas antes da criptografia de dados.
Os produtos afetados incluem soluções de grandes fornecedores como Microsoft, CrowdStrike e ESET, o que amplia o impacto potencial para empresas de todos os setores que utilizam essas plataformas. A desativação de múltiplos processos simultaneamente cria uma janela de oportunidade crítica para os atacantes executarem suas operações de exfiltração e criptografia sem interferência.
Modelo de negócio e distribuição do Gentlemen
O Gentlemen emergiu no final de 2025 como uma operação RaaS fundada por hastalamuerte, um ex-afiliado do Qilin, e rapidamente se tornou uma das cinco gangues de ransomware mais ativas no primeiro trimestre de 2026. Ao contrário da maioria dos grandes grupos de ransomware que focam pesadamente em alvos baseados nos EUA, o Gentlemen deliberadamente visa vítimas no Sudeste Asiático, América do Sul e Europa Ocidental, selecionando alvos principalmente com base em configurações incorretas do FortiGate em vez de critérios geográficos.
O gangue foi exposto ainda mais por um vazamento de dados interno em maio de 2026, que confirmou que seus operadores desenvolvem, mantêm e distribuem ativamente o GentleKiller e o conjunto mais amplo de eliminadores de EDR para afiliados selecionados. O Gentlemen oferece aos afiliados uma participação nos lucros excepcionalmente generosa de 90%, reduzindo a barreira de entrada e acelerando o recrutamento de afiliados.
Medidas de mitigação recomendadas
Equipes de segurança devem priorizar o allowlisting de drivers e impor o Vulnerable Driver Blocklist da Microsoft para prevenir ataques do tipo BYOVD. Os defensores também devem monitorar o diretório de staging GentlemenCollection e eventos anômalos de carregamento de driver de kernel. Correlacionar padrões de término de processos, especialmente visando software de segurança com eventos de instalação de driver, permanece como o sinal de detecção comportamental mais confiável contra o GentleKiller e suas variantes.
Recomenda-se a implementação de políticas de restrição de drivers não assinados, monitoramento contínuo de atividades de kernel e a revisão regular das configurações de segurança de endpoint. A adoção de soluções de detecção baseadas em comportamento, em vez de apenas assinaturas, é crucial para identificar tentativas de eliminação de EDR em tempo real.
Perguntas frequentes
Qual é a principal técnica usada pelo GentleKiller?
O framework utiliza a técnica Bring Your Own Vulnerable Driver (BYOVD), explorando drivers legítimos e assinados para desabilitar processos de segurança no nível do kernel.
Quais produtos de segurança são mais afetados?
Mais de 400 processos de 48 produtos de segurança são visados, incluindo Microsoft Defender, CrowdStrike, SentinelOne, Sophos e ESET.
Como as organizações podem se proteger?
A implementação do Vulnerable Driver Blocklist da Microsoft, allowlisting de drivers e monitoramento de atividades de kernel são medidas essenciais para mitigar esse tipo de ataque.