Esta semana a pesquisa da ESET detalhou o GentleKiller, o arsenal de evasão do grupo de ransomware Gentlemen, um dos RaaS (ransomware como serviço) mais ágeis em atividade em 2026. O número impressiona: a ferramenta mira mais de 400 processos de cerca de 48 produtos de segurança, do Microsoft Defender ao CrowdStrike, passando por Sophos e pela própria ESET, e os encerra no nível do kernel, a camada mais profunda do sistema operacional. São oito variantes, cada uma se disfarçando de um software legítimo diferente. O recado é incômodo: o primeiro movimento do ataque moderno não é criptografar arquivos, é cegar a sua defesa antes que ela perceba qualquer coisa.
Vale entender a mecânica: A técnica central é o BYOVD (Bring Your Own Vulnerable Driver): o invasor carrega no sistema um driver assinado, porém vulnerável, e o usa como porta legítima para alcançar o kernel e desligar de lá os agentes de segurança. É um abuso de confiança, não uma força bruta. E aqui entra o que mais me preocupa no cenário atual: a automação por IA está industrializando esse tipo de operação, encadeando reconhecimento, evasão e movimentação lateral de forma adaptativa. Não por acaso, perto de metade dos profissionais ouvidos em levantamentos recentes já aponta a IA agêntica como principal vetor de ataque até o fim de 2026. O atacante deixou de ser um roteiro fixo e passou a improvisar.
O contexto brasileiro torna isso mais sério. Os ataques de ransomware seguem em alta no mundo, com crescimento na casa dos 48% em maio na comparação anual e as Américas entre as regiões mais pressionadas, enquanto aqui os incidentes praticamente triplicaram nos últimos anos. O problema é que muita empresa brasileira deposita confiança total no EDR e trata aquele agente como se fosse o cinto de segurança definitivo. Se essa é a sua única camada de detecção, o GentleKiller mostra exatamente o que acontece quando ela é desligada: campo aberto, e o adversário trabalhando em silêncio antes do pedido de resgate.
É por isso que insisto na defesa em profundidade, e o tema conecta diretamente com o que venho falando há tempos sobre validação contínua de postura. Se o seu EDR pode ser derrubado, você precisa de evidências independentes do endpoint. Um SIEM correlacionando logs de rede, identidade e nuvem percebe o silêncio anômalo de um agente que parou de reportar. A tecnologia de Deception espalha iscas que denunciam a movimentação lateral mesmo sem o endpoint enxergar. O PAM reduz a superfície ao limitar os privilégios administrativos necessários para instalar um driver malicioso… Por fim, o backup imutável é a última linha de resiliência: quando tudo falha, ele garante que o negócio volte sem pagar resgate. E, acima de tudo, valide: assuma que uma camada vai cair e teste, de forma contínua, se as demais seguram o golpe antes que o atacante faça esse teste por você.
A boa notícia é que a mesma IA que assusta do lado ofensivo está amadurecendo do lado defensivo, com agentes que conduzem investigações de múltiplas etapas e reduzem o tempo de resposta de dias para minutos. A tecnologia, sozinha, nunca foi a resposta; a arquitetura é. Se um ataque desligasse o seu principal agente de segurança hoje, quanto tempo levaria até alguém na sua operação perceber, e o que ainda estaria de pé para conter o estrago? Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
Fontes
- Killing me gently: Inside Gentlemen’s EDR killer framework (ESET Research)
- The Gentlemen RaaS Uses GentleKiller EDR Framework Targeting 400 Security Processes (The Hacker News)
- Gentlemen ransomware uses multiple EDR killers to disable defenses (BleepingComputer)
- 2026: The Year of AI-Assisted Attacks (The Hacker News)
- The agentic SOC: Rethinking SecOps for the next decade (Microsoft Security Blog)
- Global Cyber Attacks and ransomware surge, May 2026 (Check Point Blog)
