The Gentlemen: grupo cibercriminoso com mais de 478 vítimas é exposto

11 jun The Gentlemen: grupo cibercriminoso com mais de 478 vítimas é exposto

Posted at 18:45h in Tech-Pt-br by

Um grupo russo de ransomware conhecido como The Gentlemen foi identificado e detalhado em uma série de relatórios de empresas de cibersegurança ao longo de 2025 e 2026. A operação, ativa desde março de 2025, já acumula 478 vítimas ao redor do mundo e responde por 10% de toda a atividade de ransomware registrada em abril de 2026. O líder do grupo, identificado como Alexander Andreevich Yapaev, tem 36 anos e mora na cidade russa de Izhevsk.

O grupo não nasceu independente. No início, funcionava como afiliado de outros esquemas criminosos maiores, conhecidos no mercado cibercriminoso como RaaS, ou ransomware como serviço. O que geralmente acontece é que grupos criminosos maiores desenvolvem o software malicioso e disponibilizam toda a infraestrutura necessária para ataques. Outros criminosos, chamados de afiliados, pagam para usar essa estrutura e ficam com a maior parte do dinheiro dos resgates.

Repositório de ferramentas maliciosas encontrado nos servidores do grupo, contendo código-fonte e referências a ransomwares conhecidos como LockBit, Conti e BlackBasta, além de utilitários de ataque. Imagem: PRODAFT.

O grupo de Yapaev operou como afiliado de três dessas “franquias” criminosas: LockBit, Qilin e Medusa, todas rastreadas por empresas de segurança com nomes próprios. Em julho de 2025, o grupo cortou os laços com essas operações e lançou o próprio programa de afiliados, batizado de The Gentlemen.

A briga que acelerou a independência

A separação foi acelerada por uma briga de dinheiro. Yapaev acusou o grupo Qilin de aplicar um golpe e não repassar US$ 48 mil que lhe eram devidos.

Ele e outro membro do grupo, identificado como LARVA-367 ou DevMan, espalharam acusações de que o Qilin tinha uma “porta dos fundos” no painel de controle dos afiliados, o que permitiria que a operação roubasse dados das vítimas sem o conhecimento dos parceiros.

Publicação de julho de 2025 em fórum cibercriminoso russo onde o usuário “hastalamuerte” — antes conhecido como “nobody0” — recrutava especialistas em redes e Active Directory para integrar a equipe. Imagem: PRODAFT.

Pesquisadores da empresa suíça PRODAFT não confirmaram se as acusações eram verdadeiras. Eles levantaram a hipótese de que as alegações podem ter sido uma estratégia para desacreditar o Qilin e recrutar os afiliados da concorrência.

Como os ataques funcionam

O modelo de negócio do The Gentlemen é o de dupla extorsão. Basicamente, os criminosos não apenas travam os arquivos da vítima com criptografia e cobram resgate para devolver o acesso. Eles também roubam os dados antes de criptografá-los e ameaçam publicá-los caso o pagamento não seja feito.

Para entrar nas redes das vítimas, o grupo explora falhas em equipamentos de segurança expostos à internet, como roteadores VPN e firewalls de marcas como Cisco e Fortinet. Isso porque esses dispositivos são a “porta de entrada” das redes corporativas e, quando têm vulnerabilidades, permitem acesso remoto sem que ninguém perceba.

Interface interna do grupo no Rocket.Chat, com canais separados para comunicação geral, informações e alvos inativos; o nome “hastalamuerte” aparece como contato direto, um dos aliases usados por Yapaev. Imagem: PRODAFT.

Depois de entrar, o grupo fica entre duas e seis semanas dentro da rede da vítima antes de ativar o ransomware. Nesse período, os criminosos mapeiam toda a estrutura interna, elevam os próprios privilégios de acesso, desativam sistemas de segurança e roubam os dados.

Para dificultar a detecção, o grupo apaga registros de atividade do Windows, desativa o Microsoft Defender e usa técnicas para contornar softwares de proteção.

Inteligência artificial no crime

Um detalhe que chama atenção nos relatórios é o uso intensivo de inteligência artificial por Yapaev. Segundo a PRODAFT, ele usa IA para desenvolver e manter o ransomware, criar outras ferramentas de ataque e obter orientações durante as invasões.

Tela de acesso ao painel de afiliados do The Gentlemen, com contatos de suporte técnico e de dados via Tox, SimpleX e Ricochet já exibidos no rodapé. Imagem: PRODAFT.

O ransomware em si é escrito na linguagem de programação Go e tem uma característica única. Quando ativado com um comando específico, ele se transforma em um worm autopropagável, ou seja, se espalha automaticamente para todos os computadores acessíveis na mesma rede, sem precisar de intervenção manual dos criminosos.

Quem são as vítimas

A maioria das vítimas está na Tailândia, no Reino Unido, no Brasil, na Alemanha e na Índia. Apenas 13% das organizações atacadas ficam nos Estados Unidos, o que é incomum para grupos de ransomware, que costumam focar em alvos americanos por conta dos valores de resgate mais altos.

O modelo de divisão de lucros atrai afiliados com uma proposta agressiva: 90% do valor do resgate fica com o afiliado e apenas 10% vai para o operador. Para ter acesso ao painel de controle do grupo, o candidato precisa comprovar que já roubou ao menos 1 GB de dados de uma vítima real, o que serve como barreira contra infiltração de pesquisadores e policiais.

Painel de controle usado pelos afiliados do The Gentlemen para configurar novos ataques: o sistema pede nome da empresa-alvo, faturamento estimado e canais de comunicação criptografada antes de gerar o ransomware personalizado. Imagem: PRODAFT.

Em abril de 2026, o grupo lançou uma correção no próprio ransomware no mesmo dia em que pesquisadores publicaram uma ferramenta capaz de descriptografar os arquivos das vítimas, mostrando um nível de organização e velocidade de resposta que preocupa especialistas.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.