GentleKiller: Nova Gangue de Ransomware Desativa Proteção em 48 Produtos Simultaneamente
A gangue de ransomware Gentlemen se destaca por oferecer um conjunto de ferramentas customizadas para desabilitar softwares de segurança, facilitando ataques em larga escala. O malware GentleKiller é o principal componente, visando centenas de processos de 48 produtos de segurança diferentes.
MundiX News·21 de junho de 2026·5 min de leitura·👁 1 views
A paisagem de ameaças cibernéticas está em constante evolução, e a gangue de ransomware Gentlemen emergiu como um ator particularmente perigoso em 2026. Em vez de depender de seus parceiros para encontrar maneiras de contornar as defesas em redes comprometidas, os operadores do grupo desenvolveram um conjunto abrangente de ferramentas projetadas especificamente para neutralizar soluções de segurança. Essa abordagem proativa permite que eles garantam o sucesso de seus ataques, culminando na criptografia de dados e na exigência de resgate.
Especialistas da ESET dedicaram meses ao estudo das ferramentas empregadas pela Gentlemen e concluíram que o grupo mantém sua própria suíte de utilitários para desativar softwares de proteção. Essa estratégia diferencia a Gentlemen de muitas outras operações de ransomware, onde os parceiros que executam os ataques geralmente são responsáveis por selecionar e empregar tais ferramentas. A Gentlemen, que surgiu no final de 2025, rapidamente se tornou uma das gangues mais ativas no modelo de "Ransomware as a Service" (RaaS) já no primeiro trimestre de 2026. Eles oferecem a seus parceiros uma fatia generosa de até 90% do resgate, enquanto gerenciam a infraestrutura maliciosa, sites de vazamento de dados, os próprios criptografadores e ferramentas de ataque adicionais.
O principal componente desse arsenal é o GentleKiller, uma ferramenta desenvolvida internamente pela Gentlemen, com pelo menos oito variantes já identificadas. Cada variante é disfarçada para se parecer com um produto legítimo e explora drivers vulneráveis ou maliciosos para encerrar processos de soluções de segurança. De acordo com a ESET, o GentleKiller tem como alvo mais de 400 processos associados a 48 produtos de segurança distintos, incluindo nomes conhecidos como Avast, AVG, Bitdefender, CrowdStrike e Kaspersky. O conjunto de ferramentas da Gentlemen também inclui utilitários de terceiros como HexKiller, ThrottleBlood e HavocKiller, que a ESET acredita terem sido adquiridos externamente e adaptados para as campanhas do grupo. Esses programas são habilmente disfarçados com nomes de arquivos semelhantes aos de produtos corporativos conhecidos, metadados de versão falsificados, assinaturas copiadas e ícones de programas legítimos.
Um aspecto particularmente preocupante é a velocidade com que a Gentlemen adota novas técnicas. A ESET observou que o grupo é capaz de incorporar rapidamente táticas recém-publicadas, lançando ataques que exploram drivers vulneráveis poucos dias após a divulgação pública de suas falhas. Ao contrário de muitas outras grandes gangues de ransomware que se concentram principalmente nos Estados Unidos, a Gentlemen demonstra um alcance geográfico mais amplo, com vítimas relatadas no Sudeste Asiático, América do Sul e Europa Ocidental, incluindo Tailândia, Brasil e França. Dados internos vazados revelaram que as vítimas são selecionadas não apenas pela geografia, mas também por configurações incorretas em dispositivos FortiGate. Um vazamento de dados internos da Gentlemen em maio de 2026 confirmou a hipótese da ESET de que o grupo gerencia ativamente seu próprio conjunto de ferramentas de desativação de defesa e o distribui para parceiros confiáveis. O mesmo vazamento também associou um ladrão de credenciais escrito em Rust, conhecido como OxideHarvest, a um dos parceiros da Gentlemen.
A ESET considera a Gentlemen uma das gangues de ransomware mais tecnicamente ágeis em 2026. A centralização de seu conjunto de ferramentas reduz a barreira de entrada para seus parceiros, tornando os ataques mais previsíveis para os próprios operadores. Para os defensores, essa abordagem representa um desafio significativo para a investigação de incidentes, pois um único artefato malicioso pode parecer uma ferramenta de terceiros não relacionada, quando na verdade faz parte da infraestrutura orquestrada pela Gentlemen.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A paisagem de ameaças cibernéticas está em constante evolução, e a gangue de ransomware Gentlemen emergiu como um ator particularmente perigoso em 2026. Em vez de depender de seus parceiros para encontrar maneiras de contornar as defesas em redes comprometidas, os operadores do grupo desenvolveram um conjunto abrangente de ferramentas projetadas especificamente para neutralizar soluções de segurança. Essa abordagem proativa permite que eles garantam o sucesso de seus ataques, culminando na criptografia de dados e na exigência de resgate.
Especialistas da ESET dedicaram meses ao estudo das ferramentas empregadas pela Gentlemen e concluíram que o grupo mantém sua própria suíte de utilitários para desativar softwares de proteção. Essa estratégia diferencia a Gentlemen de muitas outras operações de ransomware, onde os parceiros que executam os ataques geralmente são responsáveis por selecionar e empregar tais ferramentas. A Gentlemen, que surgiu no final de 2025, rapidamente se tornou uma das gangues mais ativas no modelo de "Ransomware as a Service" (RaaS) já no primeiro trimestre de 2026. Eles oferecem a seus parceiros uma fatia generosa de até 90% do resgate, enquanto gerenciam a infraestrutura maliciosa, sites de vazamento de dados, os próprios criptografadores e ferramentas de ataque adicionais.
O principal componente desse arsenal é o GentleKiller, uma ferramenta desenvolvida internamente pela Gentlemen, com pelo menos oito variantes já identificadas. Cada variante é disfarçada para se parecer com um produto legítimo e explora drivers vulneráveis ou maliciosos para encerrar processos de soluções de segurança. De acordo com a ESET, o GentleKiller tem como alvo mais de 400 processos associados a 48 produtos de segurança distintos, incluindo nomes conhecidos como Avast, AVG, Bitdefender, CrowdStrike e Kaspersky. O conjunto de ferramentas da Gentlemen também inclui utilitários de terceiros como HexKiller, ThrottleBlood e HavocKiller, que a ESET acredita terem sido adquiridos externamente e adaptados para as campanhas do grupo. Esses programas são habilmente disfarçados com nomes de arquivos semelhantes aos de produtos corporativos conhecidos, metadados de versão falsificados, assinaturas copiadas e ícones de programas legítimos.
Um aspecto particularmente preocupante é a velocidade com que a Gentlemen adota novas técnicas. A ESET observou que o grupo é capaz de incorporar rapidamente táticas recém-publicadas, lançando ataques que exploram drivers vulneráveis poucos dias após a divulgação pública de suas falhas. Ao contrário de muitas outras grandes gangues de ransomware que se concentram principalmente nos Estados Unidos, a Gentlemen demonstra um alcance geográfico mais amplo, com vítimas relatadas no Sudeste Asiático, América do Sul e Europa Ocidental, incluindo Tailândia, Brasil e França. Dados internos vazados revelaram que as vítimas são selecionadas não apenas pela geografia, mas também por configurações incorretas em dispositivos FortiGate. Um vazamento de dados internos da Gentlemen em maio de 2026 confirmou a hipótese da ESET de que o grupo gerencia ativamente seu próprio conjunto de ferramentas de desativação de defesa e o distribui para parceiros confiáveis. O mesmo vazamento também associou um ladrão de credenciais escrito em Rust, conhecido como OxideHarvest, a um dos parceiros da Gentlemen.
A ESET considera a Gentlemen uma das gangues de ransomware mais tecnicamente ágeis em 2026. A centralização de seu conjunto de ferramentas reduz a barreira de entrada para seus parceiros, tornando os ataques mais previsíveis para os próprios operadores. Para os defensores, essa abordagem representa um desafio significativo para a investigação de incidentes, pois um único artefato malicioso pode parecer uma ferramenta de terceiros não relacionada, quando na verdade faz parte da infraestrutura orquestrada pela Gentlemen.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
