Gentlemen ransomware amplia arsenal com EDR-killers para burlar defesas corporativas

Nos últimos meses, o cenário de ameaças cibernéticas tem assistido a uma evolução preocupante no modo como grupos de ransomware operam. Um desses grupos, identificado como Gentlemen, tem chamado a atenção de investigadores de segurança pela sua abordagem sistemática e sofisticada na desativação de defesas corporativas. Em vez de depender de um único método para contornar soluções de segurança, o grupo desenvolveu e mantém um conjunto diversificado de ferramentas projetadas para eliminar ou neutralizar soluções de deteção e resposta endpoint (EDR). Estas ferramentas, denominadas coletivamente de "EDR-killers", permitem que os atacantes operem com maior liberdade durante a fase crítica dos ataques, onde o tempo e a discrição são essenciais.

A investigação recente revelou que o Gentlemen utiliza múltiplas variantes de um EDR-killer personalizado, apelidado de "GentleKiller" pelos investigadores. Este conjunto de ferramentas não só desativa soluções de segurança como também impede que estas sejam reiniciadas ou restauradas durante o ataque. A abordagem é particularmente eficaz porque explora uma técnica conhecida como "bring your own vulnerable driver" (BYOVD), que permite aos atacantes elevar privilégios ao nível do kernel do sistema operativo. Ao substituir drivers legítimos por versões vulneráveis, os atacantes conseguem injetar código malicioso que desativa os motores de segurança sem levantar suspeitas imediatas.

O que torna o GentleKiller especialmente perigoso é a sua capacidade de se adaptar rapidamente a diferentes ambientes corporativos. Segundo a análise de investigadores, o framework por trás desta ferramenta é modular, permitindo que os atacantes substituam drivers vulneráveis ou integrem novas explorações de vulnerabilidades sem necessidade de reescrever grandes porções de código. Esta flexibilidade sugere que o grupo está a investir significativamente no desenvolvimento contínuo destas ferramentas, com o objetivo de as manter relevantes face às atualizações de segurança das soluções EDR. Além disso, o uso de técnicas avançadas de ofuscação de código e de empacotamento comercial, como Enigma e Themida, dificulta a deteção e a análise por parte das equipas de segurança.

Como o GentleKiller opera e quais os alvos principais

O GentleKiller funciona como uma ferramenta de "limpeza" durante os ataques do Gentlemen ransomware. A sua função principal é desativar os processos associados a soluções de segurança endpoint, garantindo que os atacantes possam prosseguir com a exfiltração de dados ou a encriptação de ficheiros sem interferência. Investigadores identificaram que o GentleKiller tem pelo menos oito variantes, cada uma projetada para imitar produtos legítimos ou explorar vulnerabilidades específicas em drivers populares. Estas variantes incluem nomes como Kaspersky, Valorant, Javelin e WatchDog, o que demonstra uma tentativa deliberada de enganar tanto os utilizadores como os sistemas de segurança.

Um aspeto crítico do funcionamento do GentleKiller é a sua capacidade de atingir mais de 400 processos associados a cerca de 48 fornecedores de segurança diferentes. Entre as empresas afetadas estão gigantes como Microsoft, CrowdStrike, SentinelOne, Palo Alto Networks, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix e Kaspersky. Esta amplitude de alvos indica que o grupo não está limitado a um ecossistema específico de segurança, mas sim que desenvolveu ferramentas capazes de operar em praticamente qualquer ambiente corporativo. A utilização de drivers vulneráveis permite que o GentleKiller atinja privilégios de kernel, o que é fundamental para desativar mecanismos de proteção profundos no sistema operativo.

Outro detalhe preocupante é o uso de assinaturas digitais roubadas de software legítimo. Embora estas assinaturas sejam inválidas, a sua inclusão nos binários do GentleKiller sugere que o grupo está a tentar aumentar a credibilidade das suas ferramentas perante os sistemas de segurança. Este tipo de tática não só facilita a execução das ferramentas nos sistemas alvo, como também pode atrasar a resposta das equipas de segurança, que podem inicialmente descartar os alertas como falsos positivos.

A estratégia por trás dos EDR-killers: por que são tão eficazes

A utilização de EDR-killers como o GentleKiller representa uma mudança significativa na forma como os grupos de ransomware operam. Tradicionalmente, os atacantes tentavam evitar a deteção através de técnicas como a ofuscação de código ou a utilização de servidores proxy. No entanto, estas abordagens não conseguiam contornar soluções EDR modernas, que monitorizam o comportamento dos processos em tempo real. Ao desativar diretamente estas soluções, os atacantes garantem que os seus movimentos não são registados, o que lhes permite operar com maior confiança e durante períodos mais longos dentro das redes das vítimas.

A eficácia desta estratégia reside na sua simplicidade e na sua capacidade de explorar falhas inerentes aos sistemas operativos. O BYOVD é uma técnica particularmente insidiosa porque explora a confiança que os sistemas operativos depositam em drivers de terceiros. Muitos fornecedores de segurança dependem de drivers para monitorizar atividades ao nível do kernel, o que os torna alvos naturais para este tipo de ataque. Ao substituir um driver legítimo por uma versão vulnerável, os atacantes conseguem injetar código malicioso que desativa os motores de segurança sem que estes consigam detetar a intrusão.

Além disso, a modularidade do GentleKiller permite que o grupo se adapte rapidamente a novas defesas. Se uma variante for detetada e bloqueada, os atacantes podem substituir o driver vulnerável ou integrar uma nova exploração sem necessidade de reescrever o código principal da ferramenta. Esta capacidade de evoluir rapidamente torna o Gentlemen ransomware uma ameaça particularmente difícil de conter, especialmente para organizações que dependem de soluções EDR para proteger os seus endpoints.

Ferramentas adicionais no arsenal do Gentlemen: OxideHarvest e outros recursos

Embora o GentleKiller seja a ferramenta mais proeminente no arsenal do grupo, investigadores identificaram que o Gentlemen ransomware também incorpora outras ferramentas externas para aumentar a sua eficácia. Uma dessas ferramentas é o OxideHarvest, um utilitário escrito em Rust projetado para roubar credenciais. O uso desuas ferramentas adicionais sugere que o grupo está a diversificar as suas táticas para garantir que os ataques sejam bem-sucedidos, mesmo em ambientes onde o GentleKiller possa não ser suficiente.

O OxideHarvest é particularmente preocupante porque permite que os atacantes obtenham credenciais de utilizadores legítimos, o que pode facilitar a movimentação lateral dentro das redes das vítimas. Ao obter acesso a contas com privilégios elevados, os atacantes podem instalar o ransomware em múltiplos sistemas, aumentar o impacto do ataque e dificultar ainda mais a recuperação por parte das vítimas. Além disso, a utilização desuas ferramentas adicionais pode ajudar a mascarar a origem dos ataques, tornando mais difícil para as equipas de segurança atribuir responsabilidades ou desenvolver defesas eficazes.

A inclusão de ferramentas externas no arsenal do Gentlemen ransomware também levanta questões sobre a complexidade da cadeia de fornecimento de ameaças. Grupos como o Gentlemen não desenvolvem todas as ferramentas que utilizam; em vez disso, aproveitam recursos disponíveis em fóruns clandestinos, mercados de cibercrime ou até mesmo através de parcerias com outros grupos criminosos. Esta abordagem permite que o grupo se concentre no desenvolvimento de ferramentas mais avançadas, como o GentleKiller, enquanto delega tarefas menos críticas a terceiros.

Impacto nos ambientes corporativos: o que as empresas precisam de saber

Para as empresas, a crescente sofisticação dos grupos de ransomware como o Gentlemen representa um desafio significativo em termos de segurança. A utilização de EDR-killers como o GentleKiller demonstra que os atacantes estão a investir em ferramentas projetadas especificamente para contornar as defesas modernas. Isto significa que as organizações não podem mais depender exclusivamente de soluções EDR para proteger os seus endpoints. Em vez disso, é necessário adotar uma abordagem de segurança em camadas, que combine múltiplas tecnologias e práticas para mitigar os riscos.

Uma das primeiras medidas que as empresas devem considerar é a implementação de controlos de segurança mais rigorosos ao nível do kernel. Isto inclui a utilização de soluções que monitorizam o comportamento dos drivers e bloqueiam a execução de versões vulneráveis. Além disso, as organizações devem garantir que os seus sistemas estão atualizados com as últimas correções de segurança, uma vez que muitas das vulnerabilidades exploradas pelos EDR-killers são conhecidas e já têm patches disponíveis.

Outro aspeto crítico é a formação contínua das equipas de segurança. A capacidade de detetar e responder a ataques que utilizam EDR-killers requer um conhecimento profundo das técnicas utilizadas pelos atacantes. As empresas devem investir em programas de formação que cubram não só as últimas ameaças, mas também as melhores práticas para mitigar riscos. Além disso, é fundamental estabelecer processos claros para a resposta a incidentes, incluindo a definição de papéis e responsabilidades em caso de um ataque.

O papel da inteligência de ameaças na defesa contra o Gentlemen ransomware

A inteligência de ameaças desempenha um papel crucial na defesa contra grupos como o Gentlemen ransomware. Ao analisar as táticas, técnicas e procedimentos (TTPs) utilizados pelos atacantes, as organizações podem antecipar as suas próximas jogadas e desenvolver defesas mais eficazes. Investigadores de segurança têm vindo a partilhar informações sobre as variantes do GentleKiller e as ferramentas associadas, o que permite que as empresas ajustem as suas estratégias de segurança em conformidade.

Uma das abordagens mais eficazes é a partilha de indicadores de comprometimento (IOCs) entre organizações. Ao monitorizar os IOCs associados ao Gentlemen ransomware, as empresas podem identificar potenciais ataques em fases iniciais e tomar medidas preventivas. Além disso, a colaboração com comunidades de segurança e a participação em programas de partilha de informações podem fornecer insights valiosos sobre as evoluções das táticas do grupo.

As organizações também devem considerar a implementação de soluções de segurança que integrem capacidades de inteligência de ameaças em tempo real. Estas soluções podem analisar o comportamento dos processos e identificar atividades suspeitas, mesmo que estas não correspondam a assinaturas conhecidas de malware. Ao combinar a inteligência de ameaças com tecnologias avançadas de deteção, as empresas podem aumentar significativamente a sua capacidade de resistir a ataques sofisticados como os perpetrados pelo Gentlemen ransomware.

O que o futuro reserva: tendências e previsões para o cenário de ransomware

O cenário de ransomware está em constante evolução, e grupos como o Gentlemen estão na vanguarda desta transformação. À medida que as soluções de segurança se tornam mais avançadas, os atacantes estão a desenvolver ferramentas cada vez mais sofisticadas para as contornar. A utilização de EDR-killers como o GentleKiller é apenas um exemplo de como os grupos de ransomware estão a adaptar as suas táticas para manter a eficácia dos seus ataques.

Nos próximos anos, é provável que vejamos um aumento na utilização de técnicas como o BYOVD, uma vez que estas permitem aos atacantes explorar falhas profundas nos sistemas operativos. Além disso, a modularidade das ferramentas como o GentleKiller sugere que os grupos de ransomware irão continuar a investir em frameworks que lhes permitam adaptar rapidamente as suas táticas em resposta a novas defesas. Isto representa um desafio significativo para as organizações, que terão de adotar abordagens mais proativas e dinâmicas para a segurança.

Outra tendência preocupante é a crescente profissionalização dos grupos de ransomware. Grupos como o Gentlemen operam cada vez mais como empresas legítimas, com estruturas organizacionais claras e uma divisão de tarefas especializada. Isto inclui desde o desenvolvimento de ferramentas até à gestão de operações de extorsão. À medida que estes grupos se tornam mais organizados, é provável que vejamos um aumento na frequência e na gravidade dos ataques, bem como uma maior sofisticação nas técnicas utilizadas.

Medidas práticas para as empresas se protegerem

Diante deste cenário desafiador, as empresas devem adotar uma série de medidas práticas para se protegerem contra grupos como o Gentlemen ransomware. Em primeiro lugar, é fundamental garantir que todos os sistemas estão atualizados com as últimas correções de segurança. Muitas das vulnerabilidades exploradas pelos EDR-killers são conhecidas e já têm patches disponíveis, pelo que a aplicação atempada destas atualizações pode evitar a exploração por parte dos atacantes.

Em segundo lugar, as organizações devem implementar controlos de segurança mais rigorosos ao nível do kernel. Isto inclui a utilização de soluções que monitorizam o comportamento dos drivers e bloqueiam a execução de versões vulneráveis. Além disso, é importante restringir os privilégios dos utilizadores e implementar políticas de acesso mínimo, de modo a limitar o impacto de um eventual comprometimento.

Outra medida crítica é a implementação de soluções de segurança em camadas, que combinem múltiplas tecnologias para detetar e prevenir ataques. Isto inclui não só soluções EDR, mas também firewalls, sistemas de prevenção de intrusões (IPS) e soluções de monitorização de comportamento. Ao adotar uma abordagem holística, as empresas podem reduzir a superfície de ataque e aumentar a resiliência contra ameaças sofisticadas.

Por fim, as organizações devem investir em formação contínua para as suas equipas de segurança. A capacidade de detetar e responder a ataques que utilizam EDR-killers requer um conhecimento profundo das técnicas utilizadas pelos atacantes. Programas de formação regulares podem ajudar as equipas a manterem-se atualizadas sobre as últimas ameaças e a desenvolverem as competências necessárias para mitigar os riscos de forma eficaz.