Um grupo de ransomware relativamente novo, mas extremamente agressivo, vem chamando a atenção de pesquisadores de segurança cibernética. Conhecido como The Gentlemen, o grupo criminoso já acumulou 478 vítimas em diversos países desde o início de suas operações, em março de 2025.
Segundo relatórios divulgados por empresas de cibersegurança ao longo de 2025 e 2026, a organização chegou a representar cerca de 10% de toda a atividade global de ransomware registrada em abril deste ano.
As investigações apontam que o líder da operação é Alexander Andreevich Yapaev, de 36 anos, residente da cidade de Izhevsk, na Rússia.
De afiliado a operador de ransomware
Antes de se tornar uma operação independente, o The Gentlemen atuava como afiliado de grandes esquemas de ransomware conhecidos como Ransomware as a Service (RaaS).
Nesse modelo, um grupo desenvolve o malware e fornece toda a infraestrutura necessária para os ataques. Outros criminosos, chamados afiliados, utilizam a plataforma em troca de uma participação nos lucros obtidos com os resgates.
Durante sua fase inicial, o grupo de Yapaev trabalhou com três operações conhecidas no submundo do cibercrime:
- LockBit;
- Qilin;
- Medusa.
Em julho de 2025, porém, a organização rompeu os vínculos com essas operações e lançou sua própria plataforma criminosa sob o nome The Gentlemen.
Disputa financeira acelerou a separação
De acordo com os pesquisadores, a independência do grupo foi impulsionada por uma disputa envolvendo dinheiro.
Yapaev acusou operadores do ransomware Qilin de não repassarem aproximadamente US$ 48 mil referentes a pagamentos que seriam destinados ao seu grupo.
Além disso, ele e outro integrante conhecido pelos apelidos LARVA-367 ou DevMan passaram a divulgar acusações de que o Qilin possuía uma suposta “porta dos fundos” em seu painel de afiliados.
Segundo eles, essa funcionalidade permitiria que os operadores do serviço acessassem dados das vítimas sem o conhecimento dos parceiros.
A empresa suíça de inteligência de ameaças PRODAFT afirma não ter encontrado evidências que comprovem essas alegações, levantando a hipótese de que a campanha tenha sido utilizada para enfraquecer a reputação do concorrente e atrair afiliados para a nova operação.
Como os ataques acontecem
O The Gentlemen utiliza um modelo conhecido como dupla extorsão, amplamente adotado pelos principais grupos de ransomware da atualidade.
Nesse tipo de ataque, os criminosos seguem duas etapas:
- Roubam os dados da organização;
- Criptografam os sistemas e exigem pagamento para restaurar o acesso.
Caso a vítima se recuse a pagar, os dados roubados são ameaçados de divulgação pública.
Para obter acesso inicial às redes corporativas, o grupo explora vulnerabilidades em equipamentos conectados à internet, especialmente:
- Firewalls corporativos;
- Servidores VPN;
- Dispositivos de borda;
- Equipamentos de fabricantes como Cisco e Fortinet.
Após a invasão, os criminosos permanecem ocultos na infraestrutura por períodos que variam entre duas e seis semanas.
Durante esse tempo, eles:
- Mapeiam toda a rede;
- Escalam privilégios administrativos;
- Identificam ativos críticos;
- Desativam mecanismos de segurança;
- Exfiltram dados confidenciais.
Somente após essa preparação o ransomware é ativado.
Técnicas para evitar detecção
Os relatórios apontam que o grupo utiliza diversas técnicas para dificultar a identificação das atividades maliciosas.
Entre elas estão:
- Exclusão de logs do Windows;
- Desativação do Microsoft Defender;
- Evasão de soluções de segurança;
- Uso de ferramentas legítimas para movimentação lateral.
Essas práticas tornam a detecção mais difícil e aumentam as chances de sucesso dos ataques.
Inteligência artificial virou ferramenta dos criminosos
Um dos aspectos que mais chamou a atenção dos pesquisadores é o uso intensivo de inteligência artificial pelo grupo.
Segundo a PRODAFT, Yapaev utiliza ferramentas de IA para:
- Desenvolver novas versões do ransomware;
- Criar ferramentas auxiliares para invasões;
- Automatizar tarefas técnicas;
- Obter suporte durante operações ofensivas.
Embora o uso de IA por grupos criminosos não seja novidade, especialistas destacam que sua adoção vem acelerando a capacidade de adaptação dessas organizações.
Ransomware pode se espalhar sozinho pela rede
O malware utilizado pelo The Gentlemen foi desenvolvido na linguagem Go e possui uma característica incomum.
Quando executado com parâmetros específicos, ele é capaz de se transformar em um worm autopropagável.
Na prática, isso significa que o código malicioso consegue se espalhar automaticamente para outros computadores acessíveis na mesma rede, sem necessidade de intervenção manual dos invasores.
Essa funcionalidade aumenta significativamente o potencial de impacto dentro de ambientes corporativos comprometidos.
Brasil está entre os países mais afetados
De acordo com os pesquisadores, a maioria das vítimas identificadas está concentrada em:
- Tailândia;
- Reino Unido;
- Brasil;
- Alemanha;
- Índia.
Um dado curioso é que apenas 13% dos ataques registrados atingiram organizações dos Estados Unidos, um percentual considerado baixo para os padrões do ecossistema de ransomware.
Tradicionalmente, grupos desse tipo costumam priorizar empresas norte-americanas devido aos altos valores pagos em negociações de resgate.
Modelo agressivo atrai novos afiliados
Para expandir suas operações, o The Gentlemen oferece um dos programas de afiliados mais lucrativos do mercado clandestino.
Segundo os pesquisadores, a divisão dos ganhos funciona da seguinte forma:
- 90% do valor do resgate fica com o afiliado;
- 10% permanece com os operadores da plataforma.
Além disso, existe um processo de seleção para novos participantes.
Para receber acesso ao painel da operação, o candidato deve comprovar que conseguiu roubar pelo menos 1 GB de dados de uma vítima real.
A exigência funciona como um mecanismo para dificultar a infiltração de pesquisadores, jornalistas e agentes de segurança.
Velocidade de resposta preocupa especialistas
Outro fator que chamou a atenção dos analistas foi a rapidez com que o grupo responde a ameaças contra sua própria operação.
Em abril de 2026, pesquisadores divulgaram uma ferramenta capaz de descriptografar arquivos afetados pelo ransomware do grupo.
No mesmo dia, os operadores lançaram uma atualização do malware para neutralizar a falha explorada pela ferramenta.
Para especialistas, essa capacidade de reação demonstra um alto nível de organização, desenvolvimento contínuo e maturidade operacional.
Uma das operações de ransomware que mais cresce em 2026
Embora tenha surgido há pouco mais de um ano, o The Gentlemen já figura entre as operações de ransomware mais ativas do cenário global.
A combinação de dupla extorsão, exploração de vulnerabilidades conhecidas, uso de inteligência artificial e um programa agressivo de afiliados transformou o grupo em uma ameaça relevante para organizações de todos os portes.
Para empresas, o caso reforça a importância de manter sistemas atualizados, monitorar equipamentos expostos à internet e investir em estratégias de detecção e resposta a incidentes antes que uma invasão evolua para um ataque de ransomware completo.
