Novo grupo de ransomware “The Gentlemen” coloca o Brasil entre seus principais alvos
Um novo protagonista do cibercrime vem ganhando espaço no cenário global de ataques com sequestro de dados: o grupo de ransomware conhecido como The Gentlemen. De acordo com uma análise aprofundada conduzida pelo Heimdall, divisão de inteligência da ISH Tecnologia, essa operação criminosa já contabiliza mais de 140 vítimas em todo o mundo e elegeu o Brasil como um dos cinco países mais visados.
Ativo desde agosto de 2025, o The Gentlemen segue o modelo de negócios de Ransomware-as-a-Service (RaaS), em que desenvolvedores do malware disponibilizam a estrutura do ataque para afiliados, em troca de uma porcentagem dos valores extorquidos. Esse formato amplia o alcance da operação criminosa e torna o grupo mais difícil de desarticular, já que diversos atores, em países diferentes, podem utilizar a mesma família de ransomware.
O levantamento do Heimdall aponta que o foco dos ataques está em setores considerados críticos para a economia e para a continuidade dos serviços: manufatura, tecnologia e serviços financeiros aparecem entre os mais impactados. A escolha não é aleatória. Ao comprometer áreas em que a interrupção das operações gera grande prejuízo em pouco tempo, os criminosos aumentam a pressão para que as organizações paguem o resgate rapidamente, muitas vezes sem avaliar todas as alternativas de resposta ao incidente.
Ao contrário de campanhas de ransomware mais simples, o The Gentlemen demonstra um nível avançado de sofisticação técnica. Os analistas da ISH Tecnologia identificaram que o grupo se vale de técnicas de evasão de alto nível para desativar ou contornar as ferramentas de segurança antes de iniciar a criptografia dos dados. Um dos pontos mais críticos é o uso de vulnerabilidades em drivers legítimos, explorados para elevar privilégios dentro do sistema e, em seguida, “cegar” soluções de proteção como EDR (Endpoint Detection and Response) e antivírus corporativos.
Outro diferencial importante é o mecanismo de execução do malware. Em vez de disparar de forma automática assim que chega ao sistema, o ransomware do The Gentlemen depende da inserção manual de uma senha. Essa exigência tem um objetivo claro: dificultar a análise automatizada em ambientes de sandbox e laboratórios de segurança, que normalmente procuram executar arquivos suspeitos em ambientes controlados para detectar comportamentos maliciosos. Sem a senha, o código malicioso não se revela, o que reduz a chance de detecção preventiva por soluções baseadas em análise de comportamento.
Para Hugo Santos, Diretor de Inteligência de Ameaças da ISH Tecnologia, a atuação do The Gentlemen representa um novo patamar de profissionalização do cibercrime. Ele destaca que o grupo emprega técnicas que, até pouco tempo, eram observadas majoritariamente em operações de espionagem patrocinadas por Estados-nação. Essa convergência entre métodos típicos de APTs (ameaças persistentes avançadas) e o modelo de extorsão financeiro aumenta significativamente o nível de risco para empresas brasileiras.
Segundo Santos, o fato de o Brasil ter se tornado rapidamente um alvo prioritário indica que os criminosos percebem fragilidades estruturais na postura de segurança das organizações locais. Muitas empresas ainda dependem de abordagens reativas, respondendo apenas após a detecção do incidente, em vez de adotar uma estratégia de threat hunting e monitoramento proativo de comportamentos suspeitos. Nesse contexto, o executivo reforça que não basta contar com ferramentas robustas: é necessário ter processos maduros, equipe preparada e visão integrada de riscos.
A operação do The Gentlemen também se destaca por incorporar, de forma agressiva, o modelo de dupla extorsão. Além de criptografar os arquivos e bloquear o acesso a sistemas essenciais, o grupo promove a exfiltração de dados sensíveis antes de disparar o ataque visível. Informações estratégicas, bases de clientes, dados financeiros e documentos confidenciais são copiados e posteriormente usados como instrumento de chantagem. Se a vítima se recusa a pagar, os criminosos ameaçam divulgar ou vender esses dados em ambientes digitais clandestinos, ampliando o dano reputacional e regulatório para a organização atacada.
Diante dessa realidade, o Heimdall reforça que a prevenção contra esse tipo de ameaça exige uma abordagem de segurança em múltiplas camadas. A recomendação passa, em primeiro lugar, por uma auditoria rigorosa de todos os serviços expostos à internet, como portas de acesso remoto, aplicações web e interfaces de administração. Reduzir a superfície de ataque e corrigir vulnerabilidades conhecidas, especialmente em sistemas críticos, é um passo essencial para diminuir a probabilidade de comprometimento inicial.
Outra medida apontada como indispensável é a adoção ampla de autenticação multifator (MFA) em contas administrativas e acessos sensíveis. Como muitos ataques começam pela exploração de credenciais vazadas ou fracas, o MFA adiciona uma barreira extra que pode frustrar tentativas de invasão mesmo quando os criminosos já possuem usuário e senha. Em paralelo, é fundamental fortalecer o monitoramento de privilégios no Active Directory, evitando concessões excessivas e revendo periodicamente permissões que não são mais necessárias.
No que diz respeito à continuidade dos negócios, a recomendação central é a manutenção de rotinas de backup consistentes, com cópias offline e imutáveis dos dados mais críticos. Como a criptografia aplicada pelo ransomware torna a recuperação dos arquivos praticamente impossível sem a chave em poder dos criminosos, a existência de backups íntegros e isolados é muitas vezes o único caminho realista para retomar as operações sem ceder ao pagamento do resgate. Esses backups devem ser testados com frequência, em exercícios de recuperação, para garantir que funcionem de fato em um cenário de crise.
Hugo Santos reforça que, diante de adversários como o The Gentlemen, a resiliência cibernética depende cada vez menos de soluções pontuais e cada vez mais de uma arquitetura de defesa bem pensada. Isso inclui segmentar redes para limitar o movimento lateral caso um ponto seja comprometido, aplicar o princípio de privilégio mínimo em contas de usuários e serviços, e contar com monitoração contínua de eventos suspeitos. A ideia é detectar e neutralizar o invasor antes que ele alcance ativos estratégicos ou obtenha privilégios suficientes para provocar danos irreversíveis.
Além das medidas técnicas, o fator humano permanece como uma peça-chave na proteção contra ransomware. Campanhas de phishing e engenharia social continuam sendo uma das principais portas de entrada para ataques, inclusive em campanhas sofisticadas como as do The Gentlemen. Investir em treinamento recorrente de colaboradores, simular ataques de phishing e promover uma cultura de segurança em que os usuários se sintam encorajados a reportar comportamentos estranhos pode reduzir significativamente o risco de comprometimento inicial.
Outro ponto crítico para empresas brasileiras é alinhar a gestão de segurança cibernética às exigências regulatórias, em especial às obrigações relacionadas à proteção de dados pessoais. Vazamentos decorrentes de ataques de dupla extorsão não geram apenas perdas financeiras e prejuízos à imagem, mas também podem resultar em sanções de autoridades reguladoras, ações judiciais e perda de confiança de clientes e parceiros. Ter processos claros de resposta a incidentes, comunicação de crises e notificação de autoridades é parte indispensável desse preparo.
A adoção de soluções de detecção e resposta mais avançadas, baseadas em análise comportamental e, em muitos casos, em inteligência artificial, tem se mostrado uma aliada importante para lidar com ameaças complexas. Ferramentas capazes de identificar padrões anômalos de acesso, movimentação suspeita de dados ou uso atípico de credenciais aumentam a probabilidade de flagrar a atuação de grupos como o The Gentlemen ainda nas fases iniciais da intrusão. Integrar essas soluções a um centro de operações de segurança (SOC) ou a serviços gerenciados pode ser uma alternativa viável, especialmente para empresas que não dispõem de grandes equipes internas.
Por fim, a experiência recente com o The Gentlemen mostra que o cibercrime evolui de forma contínua, absorvendo técnicas de espionagem, explorando brechas em softwares legítimos e adaptando-se rapidamente às defesas implementadas pelas organizações. Nesse cenário, encarar a segurança da informação como um projeto pontual ou como mera exigência de compliance é um erro estratégico. A proteção contra ransomware e outras ameaças avançadas exige visão de longo prazo, investimento contínuo, atualização constante de tecnologias e processos, além de uma mudança cultural que coloque a segurança no centro das decisões de negócio.
A mensagem central deixada pelos especialistas é clara: grupos como o The Gentlemen não miram apenas grandes corporações globais. Empresas de todos os portes, especialmente em economias em crescimento como a brasileira, estão na mira. Quem não elevar agora o seu nível de maturidade em cibersegurança tende a se tornar o próximo alvo.