Resumo da ameaça
O grupo ransomware The Gentlemen tornou-se o segundo mais ativo do mundo em número de vítimas, com pelo menos 332 organizações atingidas desde sua fundação em meados de 2025 e mais de 240 ataques somente em 2026. O modelo de negócio oferece 90% do resgate aos afiliados, atraindo operadores experientes de grupos concorrentes e acelerando a expansão de forma agressiva.
Modelo de operação do grupo
Classificado como ransomware-as-a-service (RaaS), o The Gentlemen opera com uma divisão de lucros de 90/10 — bem acima do padrão de 80/20 praticado pelo mercado. Segundo análise da Check Point Software, essa comissão generosa está atraindo operadores veteranos de programas concorrentes, impulsionando o crescimento do grupo em ritmo acelerado.
A entrada nas redes das vítimas acontece por dispositivos expostos à internet — VPNs e firewalls com vulnerabilidades conhecidas. Uma vez dentro, os atacantes movem-se lateralmente e criptografam toda a rede em questão de horas. A Microsoft Threat Intelligence identificou que o ransomware é escrito em Go e inclui um módulo de autopropagação com criptografia de chave efêmera por arquivo, dificultando a recuperação dos dados.
| Característica | Detalhe |
|---|---|
| Linguagem do ransomware | Go (Golang) |
| Divisão de lucros | 90% afiliado / 10% operador |
| Vítimas publicadas | 332+ desde mid-2025 |
| Vetor de entrada | VPNs e firewalls expostos |
| Grupo Storm (Microsoft) | Storm-2697 |
| Tempo de criptografia | Horas após o acesso inicial |
Identidade do administrador
Uma investigação do Krebs on Security revelou evidências que apontam para Alexander Andreevich Yapaev, um homem de 36 anos de Izhevsk, capital da República da Udmurtia na Rússia. O administrador utiliza os aliases Hastalamuerte e Zeta88 em fóruns de cibercrime. Vazamentos da infraestrutura interna do grupo, analisados pela Check Point, confirmaram que Hastalamuerte/Zeta88 monta o locker, gerencia o painel RaaS, controla os pagamentos e retém 10% de todos os resgates.
Inteligência da Intel 471 mostra que Hastalamuerte registrou-se em quase uma dúzia de fóruns criminais entre 2019 e 2026, incluindo Exploit, Breachforums e Raidforums. O número de telefone vinculado ao perfil no Telegram aparece em bancos de dados governamentais russos hackeados, associado ao nome de Yapaev. Uma conta no GitHub sob o username SantaMuerte, conectada ao mesmo e-mail, monitora e desenvolve ferramentas de malware e exploits.
Como se proteger
- Patch imediato em VPNs e firewalls — o ponto de entrada preferencial do grupo são dispositivos de perímetro desatualizados
- Segmentação de rede para limitar a propagação lateral do ransomware com módulo auto-spreading
- Monitorar tráfego de criptografia em massa como indicador de comprometimento em andamento
- Backups offline imutáveis testados regularmente — a criptografia por chave efêmera torna a recuperação sem backup praticamente impossível
- Desativar RDP público e serviços de acesso remoto não essenciais na borda da rede
Fontes
- Krebs on Security — Who Runs the Ransomware Group ‘The Gentlemen?’
- Microsoft Security Blog — The Gentlemen ransomware: Dissecting a self-propagating Go encryptor
- Dark Reading — ‘The Gentlemen’ Rapidly Rises to Ransomware Prominence
- Ciberseguranca.org — Ransomware Qilin explora zero-day em VPN da Check Point
- Ciberseguranca.org — Payouts King: ransomware que burla EDR
O que observar agora
Para equipes de seguranca, o ponto principal em “The Gentlemen: o ransomware que paga 90% a afiliados” e transformar o alerta em verificacao objetiva. Antes de assumir impacto, vale confirmar ativos expostos, versoes em uso, logs recentes e dependencias que possam ampliar o risco. Esse processo reduz ruido, evita pânico e ajuda a priorizar o que realmente precisa de resposta imediata.
Tambem e importante registrar evidencias. Guarde indicadores, horarios, sistemas afetados e decisoes tomadas durante a triagem. Mesmo quando o caso nao evolui para incidente, essa disciplina melhora a resposta futura e facilita explicar para lideranca por que uma acao foi tomada, adiada ou descartada.
Como medida pratica, revise backups, monitore autenticacoes incomuns, limite privilegios administrativos e confirme se alertas criticos chegam a alguem com autoridade para agir. A seguranca melhora quando noticias viram checklist operacional, nao apenas leitura passiva.
Para acompanhar “The Gentlemen: o ransomware que paga 90% a afiliados” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.
Para acompanhar “The Gentlemen: o ransomware que paga 90% a afiliados” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.