Perfil do grupo e operação
Um grupo de ransomware que surgiu apenas em meados de 2025 já marcou significativamente a paisagem de ameaças. O Gentlemen, uma operação de ransomware-as-a-service (RaaS), rapidamente se tornou um dos programas de ransomware mais ativos do mundo, com cerca de 332 vítimas publicadas apenas nos primeiros cinco meses de 2026.
O grupo opera através de um modelo de afiliados, anunciando sua plataforma em fóruns subterrâneos e convidando indivíduos qualificados a se juntarem como parceiros. Os afiliados levam 90% de cada pagamento de resgate, enquanto o operador fica com apenas 10%. Essa divisão agressiva atraiu um fluxo constante de participantes, ajudando o grupo a escalar seus ataques em um ritmo rápido.
Vetor de ataque e infraestrutura
O que torna o The Gentlemen particularmente perigoso é o quão bem organizados eles estão, apesar de serem baseados em afiliados. O vazamento identificou nove contas nomeadas trabalhando juntas de forma coordenada, com o administrador, conhecido como zeta88 ou hastalamuerte, pessoalmente envolvido na execução de ataques junto com a gestão do programa.
O método preferido do grupo para invadir a rede de um alvo começa na periferia. Seu foco principal são dispositivos de borda expostos, como appliances VPN Fortinet FortiGate e sistemas Cisco, comumente encontrados nos pontos de entrada de redes corporativas. Uma vez que encontram um dispositivo vulnerável ou mal configurado, eles o usam como uma porta de entrada para dentro.
Para obter esse ponto de apoio inicial, o grupo combina várias abordagens. Eles fazem força bruta em painéis de login, exploram falhas de segurança conhecidas e compram acesso pronto de corretores subterrâneos.
Vulnerabilidades exploradas
Três vulnerabilidades que eles rastreiam ativamente incluem:
- CVE-2024-55591: Afeta a interface de gerenciamento do FortiOS.
- CVE-2025-32433: Falha SSH Erlang relevante em ambientes Cisco.
- CVE-2025-33073: Ligado a ataques de relay NTLM.
Um operador chave conhecido como qbit foi observado especificamente escaneando por VPNs Fortinet e executando verificações de relay NTLM usando uma ferramenta chamada RelayKing.
Playbook de extorsão dupla
O Gentlemen não para na criptografia. Eles exfiltram dados antes de implantar seu bloqueador e o usam como alavanca nas negociações. Em um caso notável de abril de 2026, o grupo invadiu uma consultoria de software no Reino Unido, roubou dados sensíveis de clientes e depois reutilizou os mesmos dados semanas depois para auxiliar em um ataque contra uma empresa na Turquia.
Na operação turca, o grupo publicou a consultoria do Reino Unido como o suposto "broker de acesso" em seu site de vazamento de dados, criando pressão simultânea sobre ambas as vítimas. Essa tática, onde vítimas anteriores são armadas contra futuras, sinaliza uma mudança notável na forma como os grupos de ransomware pensam sobre dados roubados.
Indicadores de Comprometimento (IoCs)
Os analistas identificaram diversos hashes SHA-256 associados ao ransomware Windows e Linux do The Gentlemen, além de IDs TOX utilizados pelos administradores e afiliados. A tabela completa de IoCs está disponível no relatório da Check Point Research.
O que os CISOs devem fazer imediatamente
- Priorizar a correção de sistemas voltados para a internet, particularmente appliances VPN e firewalls.
- Monitorar atividade de relay NTLM em toda a rede.
- Endurecer configurações do Active Directory.
- Garantir que as soluções EDR sejam resistentes a adulteração.