Klasyczny scenariusz ataku ransomware wygląda tak: złośliwy program dostaje się na komputer, a antywirus go wykrywa i blokuje. Coraz częściej jednak przestępcy odwracają tę kolejność — najpierw po cichu rozbrajają oprogramowanie ochronne, a dopiero gdy komputer jest „ślepy”, uruchamiają właściwe szyfrowanie. Dokładnie taki mechanizm opisali 17 czerwca 2026 roku badacze firmy ESET, ujawniając narzędzie o nazwie GentleKiller, którym posługuje się jedna z najaktywniejszych grup ransomware tego roku — Gentlemen.
Czym jest GentleKiller
GentleKiller to nie pojedynczy wirus, lecz cały firmowy zestaw narzędzi do wyłączania zabezpieczeń, utrzymywany centralnie przez operatorów grupy i udostępniany zweryfikowanym „partnerom”. Liczy co najmniej osiem wariantów, a każdy podszywa się pod inny legalny produkt bezpieczeństwa i nadużywa innego sterownika systemowego. Łącznie celuje w ponad 400 procesów powiązanych z 48 programami ochronnymi — od Microsoft Defendera, przez CrowdStrike i SentinelOne, po Sophos, ESET, Bitdefendera czy Kaspersky’ego. Narzędzie działa w pętli: co dwie sekundy skanuje system i ubija wykryte procesy ochronne, więc nawet jeśli usługa antywirusa spróbuje się zrestartować, zostaje natychmiast wyłączona ponownie.
Sekret tkwi w sterowniku — technika BYOVD
Sercem ataku jest metoda określana skrótem BYOVD, czyli „Bring Your Own Vulnerable Driver” — „przynieś własny dziurawy sterownik”. Napastnicy wgrywają do systemu sterownik, który jest prawidłowo podpisany cyfrowo, a więc Windows ufa mu i ładuje go do jądra systemu. Problem w tym, że system sprawdza wyłącznie podpis, a nie to, czy kod sterownika jest bezpieczny. Tak załadowany sterownik daje atakującym uprawnienia na poziomie jądra (tzw. Ring 0) — najgłębszej warstwy systemu, z której można wyłączyć nawet programy ochronne działające na zwykłych prawach użytkownika.
Warianty GentleKiller wykorzystują w tym celu m.in. sterowniki pochodzące z antywirusa Kaspersky’ego, z systemów anty-cheat gier Valorant i FACEIT czy z oprogramowania Zemana. To legalne, podpisane pliki, które zawierają luki — i właśnie ta legalność pozwala im przejść przez wstępną kontrolę systemu.
Szybkość, która robi różnicę
Tym, co wyróżnia grupę Gentlemen, jest tempo. Gdy w internecie pojawia się nowy publiczny exploit na kolejny dziurawy sterownik, grupa potrafi włączyć go do swojego arsenału w ciągu kilku dni — podczas gdy inne grupy ransomware adaptują takie narzędzia tygodniami lub miesiącami. Wszystkie warianty są dodatkowo „opakowywane” tak, by udawać produkty znanych dostawców bezpieczeństwa: mają sfałszowane informacje o wersji, podrobione ikony i skopiowane podpisy, co utrudnia ich wykrycie i przypisanie konkretnej grupie.
Jak się chronić
Choć GentleKiller to narzędzie wymierzone głównie w firmy, zasady obrony są uniwersalne. Najważniejszym mechanizmem jest włączenie w systemie Windows listy blokowanych podatnych sterowników (Microsoft Vulnerable Driver Blocklist) — to ona uniemożliwia załadowanie znanych dziurawych sterowników do jądra. Warto też wdrożyć tzw. allowlisting sterowników, czyli zezwalać na uruchamianie wyłącznie tych zweryfikowanych i potrzebnych.
Po stronie organizacji kluczowe jest monitorowanie nietypowych zdarzeń: nagłego wyłączania wielu procesów ochronnych naraz oraz instalowania nieznanych sterowników jądra. Ponieważ grupa Gentlemen najczęściej dostaje się do sieci przez źle skonfigurowane bramy FortiGate, nie wolno zaniedbywać aktualizacji i poprawnej konfiguracji urządzeń brzegowych. Pomaga również zasada minimalnych uprawnień i odcięcie kont administracyjnych od codziennej pracy — im trudniej napastnikowi zdobyć prawa pozwalające wgrać sterownik, tym lepiej.
Podsumowanie
GentleKiller pokazuje niewygodną prawdę: sam zainstalowany antywirus to za mało, jeśli atakujący potrafi go po cichu wyłączyć, zanim zrobi cokolwiek głośnego. Obrona przed techniką BYOVD nie polega już tylko na wykrywaniu złośliwych plików, ale na pilnowaniu, co ładuje się do jądra systemu. Włączona lista blokowanych sterowników, aktualne urządzenia brzegowe i czujność na masowe wyłączanie zabezpieczeń to dziś podstawa, która oddziela firmę zaszyfrowaną od firmy, która atak przetrwała.