Descoberta e escopo
O grupo de ransomware como serviço (RaaS) conhecido como The Gentlemen emergiu como uma ameaça séria às redes corporativas em todo o mundo. Desde o seu aparecimento em meados de 2025, a organização cresceu rapidamente, reivindicando publicamente mais de 320 vítimas, com a maioria dos ataques — mais de 240 — registrados nos primeiros meses de 2026.
A velocidade de expansão do grupo aponta para um recrutamento forte de afiliados e uma liderança tecnicamente capaz. O que diferencia The Gentlemen é a sua ampla gama de ferramentas de ransomware projetadas para atacar múltiplos sistemas operacionais simultaneamente.
Capacidades e Ferramentas
O grupo oferece lockers escritos na linguagem de programação Go que funcionam em ambientes Windows, Linux, NAS e BSD. Além disso, possui um locker separado escrito em C, especificamente projetado para atingir hipervisores VMware ESXi. Essa capacidade multiplataforma permite que afiliados causem danos máximos em uma única campanha, atingindo tanto endpoints tradicionais quanto a infraestrutura de virtualização na qual muitas organizações dependem.
Mecanismo de Infecção e Movimento Lateral
A análise do Check Point Research revela um ataque cuidadosamente escalonado. A atividade mais confirmada mostrou o atacante já em um Controlador de Domínio com privilégios de Administrador de Domínio. A partir daí, payloads do Cobalt Strike foram enviados para sistemas remotos através de compartilhamentos administrativos usando executáveis com nomes aleatórios.
Para se mover lateralmente, o ransomware utiliza um argumento de propagação embutido que aceita credenciais de domínio colhidas durante a intrusão. Uma vez ativo, ele enumera todos os computadores de domínio através do Active Directory, verifica a conectividade e entrega o binário do ransomware por seis canais paralelos: PsExec, WMI, tarefas agendadas remotas, serviços remotos e métodos de execução baseados em PowerShell.
Impacto e Mitigação
Antes de executar o locker em cada alvo, o atacante desativa o Windows Defender, adiciona exclusões de caminho amplas para toda a unidade C:, desliga o firewall e reativa o SMB1. As cópias de sombra são excluídas para impedir a recuperação de arquivos, e os logs de eventos são apagados para remover evidências forenses.
Para a implantação final, o grupo abusa de Objetos de Política de Grupo (GPO) para enviar o ransomware a todas as máquinas unidas ao domínio de uma vez. O locker ESXi desliga todas as máquinas virtuais primeiro, liberando os bloqueios nos arquivos de disco virtual antes que a criptografia comece.
O que os CISOs devem fazer imediatamente
- Autenticação Multifator (MFA): Implementar MFA em todas as contas administrativas e pontos de acesso remoto.
- Segmentação de Rede: Limitar o alcance de qualquer atacante que obtenha acesso ao nível de domínio.
- Proteção de Políticas: Garantir que as políticas do Windows Defender e do firewall sejam protegidas por configurações resistentes a adulterações.
- Backups Isolados: Manter os sistemas de backup offline ou isolados, pois o ransomware encerra ativamente serviços relacionados a backups.
- Monitoramento: Vigiar a criação incomum de tarefas agendadas, movimento lateral através de compartilhamentos administrativos e comandos PowerShell que tentam desativar o monitoramento em tempo real.