Resumo

O grupo The Gentlemen, uma operação de ransomware como serviço (RaaS), já reivindicou 478 vítimas desde sua criação em meados de 2025. O Brasil está entre os cinco países mais atingidos. O líder da gangue foi identificado como um russo de 36 anos chamado Alexander Andreevich Yapaev. O grupo oferece 90% do resgate aos afiliados — muito acima dos 80% de mercado — e usa inteligência artificial para desenvolver o ransomware. Em abril de 2026, respondeu por 10% de toda a atividade de ransomware no mundo.

O ataque que se espalha sozinho

O The Gentlemen não é um ransomware comum. Análises da LevelBlue (antiga Cybereason) descrevem a operação como “altamente adaptável e de movimentação rápida”, combinando técnicas maduras de ransomware com recursos de ransomware-as-a-service, dupla extorsão — um modelo de crime que vem se intensificando em 2026lockers multiplataforma e propagação flexível. O grupo consegue criptografar redes inteiras em questão de horas após o acesso inicial.

A propagação automática — semelhante à do WannaCry em 2017 — torna o The Gentlemen particularmente perigoso. Uma vez dentro de uma rede, o malware se espalha lateralmente sem intervenção humana, abusando de credenciais roubadas e vulnerabilidades em serviços expostos na internet, como VPNs e firewalls.

Identidade do líder revelada

O jornalista de cibersegurança Brian Krebs identificou o administrador do grupo como Alexander Andreevich Yapaev, um russo de 36 anos natural de Izhevsk, capital da República da Udmúrtia, na Rússia. Yapaev usa os aliases hastalamuerte, Zeta88, ArmCorp e santamuerte em fóruns de cibercrime.

Segundo a PRODAFT, empresa suíça de cibersegurança que rastreia o grupo sob o codinome Phantom Mantis, Yapaev começou como afiliado de grupos como LockBit, Qilin e Medusa. Em julho de 2025, rompeu com o esquema Qilin após uma disputa de US$ 48 mil — acusou o grupo de aplicar um golpe de saída — e fundou sua própria operação. A lavagem de dinheiro do resgate, como visto no caso AudiA6 desmantelado pela polícia, é parte essencial do ecossistema de crime que sustenta operações como essa.

A inteligência da Intel 471 mostra que hastalamuerte se registrou em pelo menos dez fóruns de cibercrime entre 2019 e 2026, incluindo Exploit, Breachforums, Ramp_V2 e Raidforums. Seu Telegram está vinculado a um número de telefone russo associado ao nome Yapaev em bases de dados governamentais russas vazadas.

Brasil no topo dos alvos

Dados compilados pela Ransomware.Live e confirmados pela NCC Group mostram que apenas 13% das vítimas do The Gentlemen estão nos Estados Unidos. A maioria se concentra em Tailândia, Reino Unido, Brasil, Alemanha e Índia — nesta ordem.

Para o leitor brasileiro, isso significa que empresas nacionais estão no crosshair de uma das gangues mais agressivas em atividade. A Check Point classificou o The Gentlemen como o segundo grupo de ransomware mais ativo em número de vítimas em 2026, com pelo menos 332 publicações de vazamento desde a criação e mais de 240 somente neste ano.

Estratégia agressiva de recrutamento

O diferencial do The Gentlemen é a divisão de lucros. Enquanto o padrão da indústria de RaaS é 80% para o afiliado e 20% para o operador, o The Gentlemen oferece 90% do resgate ao afiliado. Essa comissão acima do mercado atraiu operadores experientes de grupos concorrentes, acelerando o crescimento da operação de forma dramática.

A PRODAFT revelou que o grupo mantém suporte técnico via aplicativo de mensageria para ajudar afiliados com criptografia e intrusão, incluindo o fornecimento de EDR killers — ferramentas que desativam soluções de segurança de endpoint usando a técnica BYOVD (Bring Your Own Vulnerable Driver), que explora drivers legítimos com falhas conhecidas para desabilitar antivírus.

O grupo também investe em contas premium em fóruns clandestinos para aumentar sua visibilidade e afastar concorrentes. Yapaev usa IA para desenvolver e manter o ransomware, além de auxiliar nos procedimentos de pós-exploração, segundo a PRODAFT.

Como o ataque funciona na prática

A cadeia de ataque do The Gentlemen segue um padrão empresarial, segundo a NCC Group:

  1. Acesso inicial: Exploração de serviços voltados para a internet (VPNs, firewalls) ou credenciais roubadas.
  2. Movimentação lateral: Propagação automática pela rede, manipulação de GPOs (Group Policy Objects) e comprometimento de contas privilegiadas.
  3. Evasão de segurança: Uso de drivers vulneráveis (BYOVD) para desativar EDRs e antivírus nos endpoints.
  4. Exfiltração e criptografia: Roubo de dados sensíveis antes da criptografia — a chamada dupla extorsão.
  5. Extorsão: Ameaça de publicar os dados roubados caso o resgate não seja pago.

A NCC Group destaca que o grupo consegue adaptar e mudar de tática durante o ataque, o que dificulta a detecção e a resposta das equipes de segurança.

Como proteger sua empresa

Com o Brasil entre os cinco países mais visados, medidas defensivas são urgentes. Recomendações baseadas nas análises da Check Point, PRODAFT e NCC Group:

  • Fechar serviços expostos: VPNs, painéis administrativos e firewalls devem estar atualizados e acessíveis somente via VPN corporativa ou lista de IP permitidos.
  • Autenticação multifator em tudo: O acesso inicial frequentemente depende de credenciais comprometidas. MFA é a barreira mais eficaz.
  • Segmentação de rede: Limitar a propagação lateral impede que o ransomware se espalhe automaticamente após o primeiro ponto de entrada.
  • Monitoramento de EDR: Soluções de detecção e resposta em endpoints conseguem identificar comportamentos anômalos como carregamento de drivers suspeitos.
  • Backups offline e testados: Backups acessíveis pela rede podem ser criptografados junto com o resto. Mantenha cópias offline e teste a restauração regularmente.
  • Plano de resposta a incidentes: Ter um plano documentado e testado reduz o tempo de recuperação de dias para horas.

Referências