O grupo de cibercriminosos conhecido como The Gentlemen consolidou-se como uma das operações de ransomware mais agressivas e versáteis observadas nos últimos anos. Emergindo publicamente no segundo semestre de 2025, a organização escalou rapidamente suas atividades para se tornar uma das duas ameaças de ransomware mais ativas globalmente até o início de 2026. O que distingue este grupo não é apenas a velocidade de sua expansão, mas a amplitude dos sistemas que almeja e a escala em que opera.
Origem e evolução do grupo
Analistas da LevelBlue, em relatório compartilhado com a Cyber Security News, indicam que o The Gentlemen não é uma operação inteiramente nova. Acredita-se que seja uma continuação de atividades anteriores de afiliados de ransomware vinculadas ao ecossistema Qilin, supostamente gerenciada por um ator de língua russa conhecido como "hastalamuerte". Esse histórico fornece ao grupo uma vantagem inicial, com conhecimento prévio, redes de afiliados e experiência operacional já estabelecidas.
Até 10 de maio de 2026, o grupo havia reivindicado publicamente 352 ataques apenas no primeiro semestre incompleto do ano. Dados do site de vazamento mostram divulgações de vítimas abrangendo mais de 70 países, com a Ásia-Pacífico, Europa, América Latina e América do Norte fortemente representadas. Serviços profissionais, manufatura, tecnologia e saúde respondem pela maior parte das vítimas conhecidas.
Capacidades técnicas e vetores de ataque
O ransomware The Gentlemen foi projetado para atacar múltiplos sistemas operacionais em uma única campanha. A versão para Windows é construída usando a linguagem de programação Go e requer uma senha na execução, ajudando o grupo a evitar detecção precoce e análise em sandbox. Os arquivos criptografados recebem extensões aleatórias de seis caracteres, e os sistemas afetados deixam uma nota de resgate nomeada READMEGENTLEMEN.txt.
A abordagem de criptografia é projetada para maximizar o dano o mais rápido possível. Arquivos menores são totalmente criptografados, enquanto arquivos maiores são apenas parcialmente criptografados em blocos, permitindo que o ransomware se mova através de grandes ambientes mais rapidamente, tornando a recuperação extremamente difícil sem um descriptografador. Antes de bloquear arquivos, o malware primeiro interrompe serviços relacionados a bancos de dados, backups, plataformas de virtualização e ferramentas de acesso remoto para impedir uma restauração fácil.
O ataque a ambientes ESXi e de virtualização é particularmente danoso, pois pode derrubar toda a infraestrutura de servidores em minutos. O painel de afiliados do grupo suporta esse modelo, permitindo que operadores gerem payloads personalizados, gerenciem negociações com vítimas, estimem receita de resgate e lidem com uploads de dados roubados a partir de um backend estruturado único.
Impacto operacional e setores visados
O modelo de ataque do The Gentlemen não para na criptografia de arquivos. O grupo usa dados roubados como parte central de sua estratégia de pressão, ameaçando publicar arquivos sensíveis em seu site de vazamento se as vítimas se recusarem a pagar. Mesmo organizações que restauram sistemas a partir de backups ainda podem enfrentar exposição de dados, consequências regulatórias e danos reputacionais duradouros.
A monitoração da dark web também revelou uma pista de inteligência não verificada envolvendo alguém oferecendo dados supostamente retirados dos próprios sistemas internos do The Gentlemen por 10.000 dólares em Bitcoin. O material oferecido incluía o que parecia ser handles de atores, conteúdo de negociação com vítimas e dados de mapeamento de arquivos. Embora isso ainda não possa ser confirmado como autêntico, adiciona uma camada importante a uma operação já complexa.
Indicadores de comprometimento (IoCs)
Os pesquisadores identificaram diversos indicadores de comprometimento que devem ser monitorados por equipes de segurança. Entre os principais IoCs estão endereços IP associados a servidores C2 do SystemBC e hashes SHA256 específicos para as variantes do ransomware em Windows e Linux.
- IP Address: 91.107.247.163 (SystemBC C2 Server)
- IP Address: 45.86.230.112 (SystemBC C2 Server)
- SHA256 (Windows): 992c951f4af57ca7cd8396f5ed69c2199fd6fd4ae5e93726da3e198e78bec0a5
- SHA256 (Linux): fe1033335a045c696c900d435119d210361966e2fb5cd1ba3382608cfa2c8e68
- File Name: gentlemen.bmp (Ransomware wallpaper/artifact)
Nota: Endereços IP e domínios são intencionalmente defanged (ex.: [.]) para evitar resolução acidental ou hiperlinking. Re-fang apenas dentro de plataformas controladas de inteligência de ameaças como MISP, VirusTotal ou seu SIEM.
Recomendações para CISOs
Equipes de segurança devem começar revisando toda a infraestrutura voltada para a internet, particularmente VPNs, firewalls e portais de acesso remoto, e implementar autenticação multifator em todas as contas privilegiadas. Credenciais expostas através de violações anteriores ou roubadas por malware de roubo de informações devem ser rotacionadas imediatamente, e contas obsoletas devem ser desativadas.
Os pesquisadores da LevelBlue recomendam caçar comportamentos de ataque em estágio inicial em vez de esperar pelo aparecimento do ransomware. Sinais-chave incluem logins administrativos incomuns, ferramentas de varredura como Nmap ou Advanced IP Scanner, uso inesperado de AnyDesk ou WinSCP, e quaisquer sinais de modificação de Política de Grupo ou desligamento em massa de serviços. Sistemas de backup e ambientes ESXi devem ser isolados do domínio principal e testados regularmente quanto à capacidade de restauração.
Perguntas frequentes
O The Gentlemen é um novo grupo? Não, parece ser uma continuação de atividades do ecossistema Qilin.
Quais sistemas são afetados? Windows, Linux, NAS, BSD e VMware ESXi.
Como mitigar o risco? Revise infraestrutura de acesso remoto, implemente MFA e monitore comportamentos de ataque inicial.