Gentlemen e seu framework GentleKiller: a ameaça avançada de EDR killers

Gentlemen: o ransomware‑as‑a‑service que se destaca em 2026

Desde o início de 2026, o gangue Gentlemen ganhou notoriedade como uma das operações RaaS mais ativas do mercado. Ao contrário de muitas gangues focadas nos EUA, Gentlemen concentra suas vítimas na Sudeste Asiático, América do Sul e Europa Ocidental, ampliando o escopo de risco geográfico.

Fundada no final de 2025 por hastalamuerte, ex‑afiliado da Qilin, a estrutura do grupo combina desenvolvedores experientes com uma estratégia de remuneração generosa: 90 % dos lucros são repassados aos afiliados que executam os ataques. Essa política atrai milhares de operadores e explica o rápido crescimento da gangue no primeiro trimestre de 2026.

Além da clássica dupla extorsão – criptografia de dados e ameaça de divulgação – a Gentlemen oferece variantes de ransomware escritas em Go (para Windows, Linux e demais plataformas) e uma versão específica para ESXi em C.

GentleKiller: o coração do arsenal de EDR killers

O estudo da ESET revelou que os operadores mantêm um framework interno chamado GentleKiller. Essa camada de defesa evasiva padroniza e distribui ferramentas como HexKiller, ThrottleBlood e HavocKiller, todas assinadas com certificados falsos que imitam fornecedores de segurança reconhecidos.

Os EDR killers funcionam em duas frentes: primeiro, alteram ou removem drivers críticos para impedir a coleta de logs; segundo, injetam código que mascara processos maliciosos como se fossem componentes legítimos do sistema operacional. O uso de “Bring Your Own Vulnerable Driver” (BYOVD) permite que a Gentlemen aproveite vulnerabilidades recém‑publicadas em dias, reduzindo drasticamente o tempo entre a descoberta e a operação prática.

Um vazamento interno em maio de 2026 forneceu amostras reais dos pacotes, confirmando que o framework inclui rotinas de camuflagem de versão, ícones copiados de softwares de segurança e até mesmo arquivos de manifesto que apontam para editores falsos.

Impacto prático e recomendações de defesa

Organizações que dependem de soluções EDR tradicionais podem ter sua visibilidade comprometida em questão de minutos, facilitando a disseminação lateral do ransomware. A prática de assinar pacotes com certificados falsos dificulta a detecção baseada em reputação, exigindo análises comportamentais aprofundadas.

Para mitigar o risco, especialistas recomendam:

• Segregar drivers críticos em políticas de controle de integridade de código (Code Integrity).
• Manter patches de vulnerabilidades BYOVD atualizados em tempo real.
• Utilizar monitoramento de integridade de arquivos e certificados, com alertas para alterações não autorizadas.
• Implementar segmentação de rede que limite a propagação de processos que alterem módulos do kernel.

Além disso, a colaboração entre equipes de threat intelligence e fornecedores de EDR é essencial para atualizar assinaturas de detecção e compartilhar indicadores de comprometimento (IOCs) de novas versões do GentleKiller.

Credibilidade da pesquisa e fontes

Os resultados apresentados foram compilados a partir de investigação de meses conduzida pela ESET Research, combinando análise de amostras reais, monitoramento de atividades de afiliados e o vazamento interno de maio de 2026. A descoberta corrobora revelações anteriores da Group‑IB (link) e de Brian Krebs (evidência).

Com a combinação de fontes abertas e dados confidenciais, a ESET fornece uma visão única da agilidade técnica da Gentlemen, reforçando a necessidade de estratégias de defesa proativas no cenário de ransomware em 2026.