Uma equipe de ransomware de língua russa conhecida como The Gentlemen subiu rapidamente para se tornar uma das ameaças mais ativas em 2026, ficando em segundo lugar apenas para Qilin em atividade de ransomware. Sua caixa de ferramentas combina exploração de vulnerabilidade da Fortinet, operações assistidas por IA e um framework de comando e controle totalmente personalizado que a maioria das ferramentas de segurança simplesmente não vê chegando.
Descoberta e escopo do grupo
O grupo opera sem um escritório central ou estrutura de pagamento tradicional. Nove manipuladores de operador foram identificados comunicando-se através de fusos horários através de uma instância Rocket.Chat auto-hospedada em um site onion, com planos de migrar para uma plataforma baseada em Rust. Em maio de 2026, a equipe de pesquisa Ransom-ISAC extraiu 3.366 mensagens do servidor Rocket.Chat do The Gentlemen, expondo planos internos, discussões de ferramentas e detalhes de direcionamento de vítimas.
Analistas da Vectra AI notaram as descobertas em um relatório compartilhado com a Cyber Security News (CSN), observando que, embora as ferramentas do grupo tenham mudado consideravelmente, as fraquezas centrais que exploram em redes de vítimas permaneceram quase as mesmas desde 2022. As mensagens vazadas também descobriram uma conexão entre o The Gentlemen e marcas anteriores de ransomware. Um negociador conhecido pelo manipulador "Tinker" apareceu tanto em chats do Black Basta quanto nos logs do The Gentlemen, desempenhando o mesmo papel operacional em ambos os grupos.
Um servidor Matrix compartilhado, bestflowers247.online, estava presente em arquivos de ambos os grupos, ancorando esse vínculo de infraestrutura com evidências sólidas. Esse padrão aponta para uma verdade maior: operadores de ransomware não se aposentam, eles se rebrandeiam. As mesmas pessoas carregam seu conhecimento e acesso de uma empresa criminal para a próxima, tornando as tomadas de grupo muito menos eficazes do que muitos defensores podem esperar.
Ferramentas e infraestrutura de ataque
A Fortinet permanece a porta de entrada de escolha para o The Gentlemen. Os logs do Rocket.Chat mencionam FortiGate 81 vezes, com CVE-2024-55591, uma falha de bypass de autenticação do FortiOS, chamada explicitamente como sua maneira primária de entrar em redes de vítimas. A análise separada da Halcyon encontrou o grupo fazendo força bruta em aproximadamente 1.000 VPNs da Fortinet, em alguns casos usando senhas reutilizadas como gentlemen25 e gentle26 em várias vítimas.
Uma vez dentro, o grupo implanta um framework C2 personalizado chamado G-BOT. Este painel de controle anteriormente não documentado suporta tunelamento SOCKS5 por beacon e sobe construtores para sites de compartilhamento de arquivos temporários, substituindo ferramentas comerciais como Cobalt Strike. Essa mudança torna a detecção mais difícil para equipes de segurança que dependem de assinaturas conhecidas. O grupo também visa hipervisores diretamente. Seus ataques de bloqueio Linux atacam o Hyper-V Volume Manager, criptografando no nível do hipervisor para que agentes de endpoint dentro de máquinas virtuais não possam ver o ataque.
O bloqueio solta a extensão .i8p14s e deixa uma nota de resgate chamada README-GENTLEMEN.txt, sinalizando que nenhuma camada de infraestrutura está fora dos limites. O grupo também discute alugar GPUs no vast.ai e executar modelos de IA sem censura do Hugging Face para triar grandes volumes de dados roubados.
Uso de IA e roubo de credenciais
O The Gentlemen moveu a IA de uma novidade para uma parte funcional de sua operação. Operadores referenciam o uso de modelos GPT e Claude para auxiliar em negociações de resgate, com um operador descrevendo-os como escritores de resposta automática para comunicações de vítimas. Para roubo de credenciais, o grupo confia no Phemedrone Stealer V2.3.2, LummaC2, XenAllPasswordPro, Chrome App-Bound Encryption Decryption e DumpBrowserSecrets.
Essas ferramentas puxam senhas salvas diretamente dos navegadores sem acionar falhas de login, o que significa que os logs de autenticação padrão não mostram nada incomum. Os dados roubados então se movem através do rclone para o MEGA, seguindo o mesmo padrão de exfiltração que grupos de ransomware usaram por anos. Equipes de segurança devem auditar dispositivos de borda incluindo Palo Alto, Fortinet, Citrix, F5 e Cisco contra a lista de CVE discutida nos chats de operadores.
Medidas de mitigação recomendadas
Tratar o acesso ao NTDS.dit e backup VSS como um alerta de severidade um imediato, em vez de uma descoberta forense feita semanas depois, pode parar compromissos de domínio antes que se desenvolvam totalmente. Caçar ferramentas como rclone, MEGAcmd, WinSCP e Velociraptor em hosts que não têm razão para executá-los adiciona uma camada de alerta precoce que os logs sozinhos não podem fornecer. A implementação de monitoramento contínuo para atividades de exfiltração de dados e o uso de ferramentas legítimas para fins maliciosos é essencial.
Indicadores de comprometimento (IoCs)
Os IoCs incluem CVE-2024-55591 (FortiOS), CVE-2024-3400 (Palo Alto PAN-OS), domínio bestflowers247.online, IP 193.228.128.2:2222, senha gentlemen25, extensão de arquivo .i8p14s e ferramenta G-BOT. Re-fang apenas dentro de plataformas controladas de inteligência de ameaças como MISP, VirusTotal ou seu SIEM.
Perguntas frequentes
Qual é a principal vulnerabilidade explorada? CVE-2024-55591 no FortiOS é o vetor de acesso inicial primário.
Como o grupo usa IA? Para negociações de resgate e triagem de dados roubados.
Qual é a recomendação principal? Auditar dispositivos de borda e monitorar acesso a backups de domínio.