Uma nova variante de ransomware chamada The Gentlemen tem levantado sérios alarmes na comunidade de cibersegurança. Desenvolvido na linguagem de programação Go e ofuscado com uma ferramenta chamada Garble, o malware combina criptografia poderosa por arquivo com uma capacidade agressiva de se propagar silenciosamente por redes inteiras sem intervenção humana.
Descoberta e escopo da ameaça
O The Gentlemen opera como uma plataforma de ransomware-as-a-service (RaaS), onde os desenvolvedores centrais alugam o acesso ao malware para outros criminosos conhecidos como afiliados. O grupo emergiu por volta de meados de 2025 como um grupo fechado e abriu suas portas para afiliados em setembro de 2025. Mais recentemente, seus operadores forjaram uma parceria formal com o BreachForums, um mercado conhecido de cibercriminosos, recrutando ativamente testadores de penetração e corretores de acesso inicial para realizar ataques em seu nome.
A Microsoft Threat Intelligence rastreia o grupo por trás do malware como Storm-2697. Os operadores utilizam táticas de extorsão dupla, criptografando os dados da vítima e, simultaneamente, roubando arquivos sensíveis, ameaçando liberar as informações roubadas publicamente se o resgate não for pago.
Escalada de privilégios via scheduled task
Um dos comportamentos mais tecnicamente notáveis do The Gentlemen é como ele alcança os privilégios de sistema mais altos possíveis antes de criptificar unidades locais. Quando o ransomware recebe a instrução correta de linha de comando, ele cria uma tarefa agendada do Windows chamada gentlemen_system que executa o executável do malware sob a conta SYSTEM, que é o nível mais poderoso de acesso em uma máquina Windows.
Para fazer isso de forma limpa, ele primeiro exclui qualquer tarefa existente com esse nome, depois registra e aciona imediatamente uma nova. Uma vez executando sob esse contexto elevado, o malware define uma variável de ambiente interna chamada LOCKER_BACKGROUND=1 para sinalizar que está operando como um processo de criptografia em segundo plano com privilégios totais. Esse design permite que o ransomware alcance e criptifique arquivos que, de outra forma, estariam protegidos ou inacessíveis para contas de nível de usuário padrão.
Propagação lateral e persistência
O The Gentlemen não para em uma única máquina. Quando seu recurso de propagação é ativado, ele se transforma em um worm auto-propagante capaz de implantar-se em todos os sistemas que pode alcançar na rede local. Ele estagia seu próprio binário em uma pasta compartilhada, copia-o através de compartilhamentos de rede administrativos e tenta executá-lo em hosts remotos usando oito métodos diferentes simultaneamente.
Esses métodos incluem PsExec, Windows Management Instrumentation (WMI), tarefas agendadas em contextos de usuário e SYSTEM, serviços do Windows e remotação do PowerShell. O malware tenta 21 operações de execução remota separadas por host alvo. Essa redundância é central para sua estratégia porque, mesmo que a maioria dos métodos seja bloqueada, uma única execução bem-sucedida em um novo host é suficiente para reiniciar todo o ciclo de propagação.
Medidas de mitigação recomendadas
Os defensores podem reduzir a exposição habilitando o acesso controlado a pastas, ativando a proteção antivírus entregue na nuvem e bloqueando a criação de processos originados de comandos PsExec e WMI por meio de regras de redução da superfície de ataque. É fortemente recomendado executar ferramentas de detecção e resposta em endpoint (EDR) no modo de bloqueio, bem como configurar interrupção automática de ataques para conter ameaças ativas antes que se espalhem ainda mais pelo ambiente.
Indicadores de comprometimento (IoCs)
- SHA-256: 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67 (Binário do criptografador)
- Nome do Arquivo: README-GENTLEMEN.txt (Nota de resgate)
- Extensão de Arquivo: .umc16h (Arquivos criptografados)
- Tarefa Agendada: gentlemen_system (Tarefa privilegiada SYSTEM)
- Chave de Registro: GupdateS (HKLM) e GupdateU (HKCU)
- Senha Incorporada: 9VoAvR7G (Autenticação do operador)
O que os CISOs devem fazer imediatamente
As organizações devem auditar imediatamente as tarefas agendadas do Windows em busca de nomes suspeitos como gentlemen_system, UpdateSystem e UpdateUser. É crucial revisar os logs de segurança para identificar a criação de processos que utilizam a conta SYSTEM para executar binários desconhecidos. Além disso, a rotação de credenciais de administrador local e a revisão de permissões de compartilhamento de rede são essenciais para limitar a propagação lateral.