Grupo de ransomware Gentlemen desenvolve ferramentas para burlar EDRs

BR Defense Center (By River de Morais e Silva)
ransomware

O grupo de ransomware Gentlemen, que opera como um serviço (RaaS), tem se destacado por desenvolver uma série de ferramentas para desativar sistemas de detecção e resposta de endpoint (EDR) antes de implementar seu software de criptografia. Conhecido como GentleKiller, esse conjunto de ferramentas é distribuído a afiliados e inclui variantes que imitam produtos legítimos de segurança, utilizando informações falsas de versão e certificados copiados. Desde sua aparição em março de 2025, o grupo já reivindicou 504 vítimas, principalmente na Ásia, América do Sul e Europa Ocidental. O líder da operação, Alexander Andreevich Yapaev, tem um histórico como afiliado em outros esquemas de ransomware. A equipe de segurança da ESET destacou a agilidade do grupo em operacionalizar novas vulnerabilidades, especialmente a técnica chamada ‘bring your own vulnerable driver’ (BYOVD), que permite a exploração de drivers vulneráveis para comprometer sistemas. Além disso, o Gentlemen também utiliza um ladrão de credenciais baseado em Rust, chamado OxideHarvest, que coleta dados de navegadores populares. A centralização da função de desativação de EDRs torna o grupo atraente para novos afiliados, reduzindo as barreiras de entrada e facilitando a execução de ataques.

Fonte: https://thehackernews.com/2026/06/the-gentlemen-raas-uses-gentlekiller.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
19/06/2026 • Risco: ALTO
RANSOMWARE

Grupo de ransomware Gentlemen desenvolve ferramentas para burlar EDRs

RESUMO EXECUTIVO
O grupo Gentlemen representa uma ameaça significativa devido à sua capacidade de desativar ferramentas de segurança e implementar ransomware de forma rápida e eficaz. A utilização de técnicas como BYOVD e a centralização de ferramentas de ataque tornam a situação crítica para empresas que dependem de EDRs para proteção.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a interrupções operacionais e custos de recuperação.
Operacional
Comprometimento de sistemas de segurança e implementação de ransomware em redes.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']

📊 INDICADORES CHAVE

504 vítimas até a data do relatório. Indicador
O grupo é considerado um dos mais ativos desde sua formação. Contexto BR
O GentleKiller possui oito variantes diferentes. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de drivers vulneráveis e atualizar sistemas de segurança.
2 Implementar patches de segurança e revisar políticas de acesso administrativo.
3 Monitorar continuamente atividades suspeitas e tentativas de exploração de vulnerabilidades.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação dos ataques de ransomware, especialmente com a centralização de ferramentas de desativação de EDRs, o que facilita a ação de afiliados.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e proteção de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).