São Paulo — InkDesign News — Uma nova operação de ransomware chamada The Gentlemen está se destacando ao explorar uma vulnerabilidade em drivers legítimos para contornar produtos de segurança em ambientes corporativos, representando um risco elevado para as organizações.
Vetor de ataque
A estratégia do The Gentlemen envolve o uso de um driver vulnerável chamado ThrottleStop.sys, que é utilizado para finalizar processos de programas antivírus e outras soluções de segurança, como plataformas de resposta estendida (EDR). A técnica, conhecida como ataque bring-your-own-vulnerable-driver (BYOVD), permite que os atores de ameaças manipulem e até mesmo interrompam processos que normalmente estariam protegidos.
Impacto e resposta
A vulnerabilidade CVE-2025-7771, identificada como uma falha crítica de execução de código e escalonamento de privilégios, é a base desse ataque. A pesquisa da Trend Micro indica que The Gentlemen evoluiu de ataques oportunistas para ferramentas personalizadas, adaptadas para eludir soluções de segurança de fornecedores específicos. Isso, segundo os pesquisadores, revela a determinação do grupo em comprometer ambientes empresariais.
“Esse ator de ameaças rapidamente se estabeleceu no cenário de ameaças ao demonstrar capacidades avançadas através da sistemática ruptura de ambientes corporativos.”
(“This threat actor quickly established itself within the threat landscape by demonstrating advanced capabilities through their systematic compromise of enterprise environments.”)— Trend Micro Research Team, Trend Micro
Análise e recomendações
Para mitigar os riscos apresentados pelo The Gentlemen, a Trend Micro recomenda a implementação de controles de confiança zero. Além disso, as organizações devem monitorar a utilização do All.exe e Allpatch2.exe, ferramentas que são projetadas para desativar componentes de segurança. A equipe de pesquisa adverte que, devido à origem legítima de ThrottleBlood.sys, o foco deve ser na detecção de padrões de processo inusitados em vez de tentar bloquear drivers apenas por nome.
Com a evolução das táticas do The Gentlemen e sua adaptação a ambientes específicos, é essencial que as empresas reavaliem suas defesas cibernéticas, uma vez que este tipo de ataque provavelmente se tornará mais prevalente.
Fonte: (Dark Reading – Segurança Cibernética)
