O ransomware Gentlemen, operando como um serviço (RaaS), está aprimorando suas capacidades com um conjunto de ferramentas projetadas para desativar sistemas de detecção e resposta de endpoint (EDR). A principal ferramenta, chamada GentleKiller, possui pelo menos oito variantes que se disfarçam como produtos de segurança legítimos, como Kaspersky e Valorant. Essas ferramentas são utilizadas para neutralizar defesas durante os ataques, permitindo que processos de roubo ou criptografia de dados ocorram sem obstáculos. A técnica ‘bring your own vulnerable driver’ (BYOVD) é empregada para elevar privilégios e desativar motores de segurança, com cada variante do GentleKiller utilizando drivers vulneráveis diferentes para alcançar privilégios de nível kernel. A análise indica que o grupo também utiliza ferramentas externas, como HexKiller e ThrottleBlood, para aumentar a eficácia de seus ataques. O Gentlemen RaaS já comprometeu a fornecedora de energia romena Oltenia e está associado a uma botnet de malware proxy chamada SystemBC. Dada a complexidade e a sofisticação das ferramentas utilizadas, a ameaça representa um risco significativo para empresas que utilizam as tecnologias afetadas.
Fonte: https://www.bleepingcomputer.com/news/security/gentlemen-ransomware-uses-multiple-edr-killers-to-disable-defenses/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
18/06/2026 • Risco: ALTO
RANSOMWARE
Ransomware Gentlemen desenvolve ferramentas para evitar detecção
RESUMO EXECUTIVO
O ransomware Gentlemen representa uma ameaça significativa, utilizando ferramentas sofisticadas para contornar defesas de segurança. Com um impacto potencial em setores críticos e a possibilidade de comprometer dados sensíveis, é essencial que as empresas adotem medidas proativas para mitigar esses riscos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos associados a recuperação de dados e interrupção de serviços.
Operacional
Comprometimento de dados e sistemas, como no caso da Oltenia.
Setores vulneráveis
['Setor de energia', 'Setor financeiro', 'Tecnologia da informação']
📊 INDICADORES CHAVE
GentleKiller ataca mais de 400 processos de segurança.
Indicador
O grupo está associado a uma botnet com mais de 1.570 hosts.
Contexto BR
Comprometimento de 74.000 credenciais de VPN FortiGate.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar sistemas de segurança e verificar logs de acesso.
2
Implementar atualizações de segurança e reforçar políticas de acesso.
3
Monitorar continuamente atividades suspeitas e tentativas de acesso não autorizado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a evolução das técnicas de ransomware que visam desativar defesas de segurança, colocando em risco a integridade dos dados e a continuidade dos negócios.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
