Hack Alerta

Ransomware The Gentlemen revela novas táticas de movimento lateral e variantes em Go e C

Kaspersky analisa grupo The Gentlemen, revela táticas de movimento lateral, uso de drivers vulneráveis (BYOVD) e novas variantes de ransomware em Go e C.

Introdução ao grupo The Gentlemen

Este ano viu o surgimento do The Gentlemen, um exemplo proeminente de um grupo operando sob o modelo de Ransomware-as-a-Service (RaaS). Embora a avaliação inicial sugerisse que o grupo apareceu pela primeira vez em meados de 2025, ele realmente começou a aumentar suas atividades no início de 2026. De acordo com relatórios públicos, no primeiro semestre de 2026, este grupo figura entre os top 10 atores de ransomware pelo número de anúncios de vítimas em seu site de vazamento de dados (DLS). A Kaspersky tem observado a atividade do The Gentlemen desde fevereiro de 2026 e descobriu novas táticas, técnicas e procedimentos (TTPs) bem como esforços de desenvolvimento de ferramentas personalizadas.

Técnicas de reconhecimento e movimento lateral

A investigação revela que o grupo The Gentlemen realiza reconhecimento interno minucioso usando ferramentas como SharpADWS, NetScan, Advanced IP Scanner e netsh para mapear o ambiente alvo e identificar vulnerabilidades. O SharpADWS é usado para reunir informações detalhadas do Active Directory, incluindo enumeração de objetos de domínio, e pode contornar a logagem padrão envolvendo consultas LDAP em mensagens SOAP. O grupo também usa o Microsoft netsh para capturar pacotes de rede e reunir inteligência.

Para facilitar o movimento lateral, eles usam um script PowerShell personalizado, deploy_gpo.ps1, com parâmetros e variáveis específicos para cada sistema alvo. Além disso, empregam o PsExec para executar remotamente o binário do ransomware em sistemas alvo, fornecendo um método alternativo para espalhar a infecção quando a abordagem baseada em GPO não é viável. O grupo também usa o compartilhamento NETLOGON para distribuir o executável do ransomware para computadores conectados, permitindo ataques simultâneos em múltiplos dispositivos.

Desabilitação de produtos de segurança

O grupo The Gentlemen usa vários métodos para desabilitar o software de segurança em computadores alvo, incluindo a técnica BYOVD (Bring Your Own Vulnerable Driver). Isso envolve instalar um driver vulnerável e explorar sua fraqueza para desligar o software de segurança, obter acesso irrestrito e lançar ataques de ransomware. Drivers observados incluem ProcessMonitorDriver.sys (Safetica), wamsdk.sys (WatchDog), gamedriverx64.sys (Fedeen/Hotta), biontdrv.sys (Paragon), inpoutx64.sys, wsftprm.sys (Topaz) e Havoc.sys (Huawei).

O grupo também usa ferramentas de código aberto, incluindo Windows Kernel Explorer e OpenArk64, para desabilitar o software de segurança. Além disso, empregam métodos simples como usar kavrmvr.exe para desinstalar o Kaspersky Antivirus e modificar configurações do registro do Windows para desabilitar a proteção em tempo real do Windows Defender.

Variantes de Ransomware e Backdoors

Observamos um implant personalizado feito, escrito em Go e implantado um dia antes do ataque de ransomware, que atuou como um backdoor, permitindo execução remota de comandos. O implant coletou informações do sistema (hostname, nome de domínio, UUID e endereços IP locais) e organizou-as em formato JSON. Para obter o UUID do sistema, usou a consulta WMI "SELECT UUID FROM Win32_ComputerSystemProduct". Estabeleceu uma conexão TCP bidirecional persistente com o servidor C2 usando a biblioteca Yamux.

A versão mais difundida do binário do ransomware, escrita em Go, surgiu em meados de 2025 e tem sido usada na maioria dos ataques desde então. Apresenta um ofuscador Go anteriormente desconhecido que renomeia símbolos, arquivos de código-fonte e estruturas, e altera assinaturas de função, tornando a análise mais difícil. Uma nova variante em C, atualmente limitada ao Windows, também foi descoberta, sugerindo que o grupo está expandindo suas capacidades.

Recomendações de Defesa

As organizações são aconselhadas a priorizar a gestão de vulnerabilidades e o endurecimento do sistema para reduzir o risco de comprometimento. Medidas específicas incluem:

  • Monitoramento de Drivers: Auditar e bloquear drivers não assinados ou conhecidos por serem vulneráveis (BYOVD).
  • Proteção de GPO: Monitorar alterações em políticas de grupo e scripts de inicialização.
  • Hardening de Active Directory: Implementar controles de acesso rigorosos e monitorar consultas LDAP incomuns.
  • Resposta a Incidentes: Ter planos para isolamento rápido de sistemas infectados e recuperação de backups limpos.

Baseado em publicação original de Securelist
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.