O ransomware-as-a-service (RaaS) Gentlemen está ativamente desenvolvendo e mantendo um conjunto de killers de detecção e resposta de endpoint (EDR) para ajudar afiliados a evadir detecção em ataques. A descoberta revela uma evolução significativa nas táticas de evasão de defesas corporativas, exigindo uma reavaliação das estratégias de segurança de ponta.
Evolução das táticas de evasão
O grupo Gentlemen tem demonstrado uma capacidade notável de adaptar suas ferramentas para contornar soluções de segurança modernas. Ao invés de depender apenas de exploits de dia zero, os desenvolvedores do Gentlemen focam em desativar as ferramentas de monitoramento que os analistas de SOC utilizam para identificar e conter ameaças.
Os killers de EDR identificados são projetados para identificar processos de segurança específicos e encerrá-los antes que o payload do ransomware seja executado. Isso permite que a operação de criptografia ocorra sem gerar alertas nos painéis de gerenciamento de segurança.
Implicações para equipes de SOC
Para as equipes de Segurança Operacional (SOC), a presença de múltiplos killers de EDR indica que a detecção baseada em assinatura pode não ser suficiente. A análise comportamental e a detecção de anomalias tornam-se críticas, pois os atacantes estão focados em eliminar a visibilidade do ambiente antes de agir.
Recomenda-se a implementação de soluções de EDR que utilizem machine learning para detectar comportamentos de desativação de processos de segurança, além de monitorar tentativas de acesso a chaves de registro e serviços do sistema que são comuns em operações de kill EDR.
Modelo RaaS e escalabilidade
O modelo RaaS do Gentlemen permite que afiliados com menos experiência técnica lancem ataques sofisticados. A disponibilidade de ferramentas de evasão prontas para uso reduz a barreira de entrada para cibercriminosos, aumentando o volume de ataques que as organizações precisam enfrentar.
Isso reforça a necessidade de uma postura de segurança em camadas, onde a perda de um ponto de defesa (como o EDR) não resulta necessariamente em comprometimento total, graças a controles de rede, segmentação e backups imutáveis.
Recomendações de mitigação
As organizações devem revisar suas configurações de EDR para garantir que os processos de segurança não possam ser encerrados por usuários não privilegiados. Além disso, a implementação de soluções de resposta a incidentes automatizadas pode ajudar a restaurar a visibilidade do EDR rapidamente após um ataque de desativação.
A segmentação de rede é essencial para limitar a movimentação lateral caso o EDR seja comprometido. Backups imutáveis e isolados da rede principal devem ser mantidos para garantir a recuperação sem pagar resgate.
O que os CISOs devem monitorar
Os CISOs devem priorizar a visibilidade sobre os processos de segurança em seus endpoints. Monitorar logs de sistema para tentativas de desativação de serviços de segurança e garantir que as atualizações de EDR sejam aplicadas rapidamente são passos fundamentais para mitigar o risco associado a essa campanha.