Novo grupo de ransomware “The Gentlemen” coloca o Brasil na mira
Um novo protagonista do cibercrime vem ganhando força no cenário global: o grupo de ransomware conhecido como The Gentlemen. De acordo com uma investigação conduzida pelo Heimdall, unidade de inteligência da ISH Tecnologia, essa operação criminosa já fez mais de 140 vítimas ao redor do mundo e rapidamente passou a considerar o Brasil um de seus principais alvos, colocando o país entre os cinco mais afetados pelas ações do grupo.
Ativo desde agosto de 2025, o The Gentlemen segue o modelo de negócio de Ransomware-as-a-Service (RaaS), em que desenvolvedores do malware fornecem a infraestrutura, o código malicioso e o suporte a afiliados que efetivamente conduzem os ataques. Em troca, os operadores ficam com uma parte dos resgates pagos. Esse formato industrializa o crime, reduz barreiras de entrada e acelera a disseminação da ameaça.
Os dados levantados pelo Heimdall mostram que o grupo concentra seus ataques em setores considerados críticos: manufatura, tecnologia da informação e serviços financeiros. São ambientes em que poucas horas de paralisação podem gerar prejuízos milionários, impactos na cadeia de suprimentos e danos de reputação difíceis de reverter. Essa pressão é usada pelos criminosos como alavanca para forçar o pagamento rápido do resgate.
Sofisticação técnica acima da média
O The Gentlemen se diferencia de muitas famílias tradicionais de ransomware pela forma como consegue contornar defesas e permanecer invisível o máximo de tempo possível. Antes de iniciar a etapa de criptografia dos dados, os operadores focam em desabilitar ou “cegar” ferramentas de segurança, como soluções EDR (Endpoint Detection & Response) e antivírus corporativos.
Segundo pesquisadores da ISH Tecnologia, uma das táticas-chave do grupo é explorar vulnerabilidades em drivers legítimos do sistema operacional ou de fornecedores reconhecidos. Ao abusar desses componentes confiáveis, os invasores obtêm privilégios elevados (inclusive nível de kernel), o que lhes permite manipular processos, desativar proteções e evitar detecções comportamentais.
Outro aspecto incomum do The Gentlemen é o uso de uma senha manual para execução do ransomware. O binário malicioso não entra em ação automaticamente: é necessário que o operador digite uma senha específica para liberar a carga útil. Essa exigência dificulta a análise automatizada em ambientes de sandbox e em motores de detecção que dependem de execução em massa de amostras suspeitas. Em termos práticos, a ameaça se torna muito mais resistente a mecanismos preventivos baseados exclusivamente em análise estática ou dinâmica automatizada.
Visão dos especialistas
Para Hugo Santos, Diretor de Inteligência de Ameaças da ISH Tecnologia, o surgimento do The Gentlemen marca uma mudança de patamar no cibercrime financeiro. Ele destaca que o grupo demonstra uma maturidade operacional até então mais comum em operações de espionagem patrocinadas por Estados-nação, não em grupos motivados puramente por lucro.
Segundo o executivo, a velocidade com que o Brasil entrou na lista de prioridades dos atacantes expõe fragilidades estruturais: alto nível de digitalização, muitas empresas ainda com segurança reativa, larga superfície de ataque exposta à internet e ambientes híbridos ou em nuvem com configurações complexas. Santos reforça que, diante desse cenário, já não basta investir apenas em ferramentas: é essencial adotar uma postura de caça ativa a ameaças (threat hunting) e monitoramento contínuo.
Dupla extorsão como regra, não exceção
A agressividade do The Gentlemen não se limita à criptografia de arquivos. O grupo adota a estratégia de dupla extorsão, hoje comum entre as principais famílias de ransomware. Primeiro, os dados são exfiltrados – especialmente informações sensíveis como bases de clientes, registros financeiros, propriedade intelectual e documentos internos estratégicos. Em seguida, inicia-se o processo de criptografia nos servidores e estações de trabalho.
Com isso, a vítima enfrenta dois riscos ao mesmo tempo: a indisponibilidade dos sistemas e a exposição pública ou venda dos dados roubados. Os operadores ameaçam publicar os arquivos em portais na Dark Web ou leiloá-los, caso o pagamento não seja realizado. Mesmo empresas com bom esquema de backup passam a sofrer forte pressão, porque a restauração não resolve o problema do vazamento e das implicações regulatórias, jurídicas e reputacionais associadas.
Por que o Brasil virou alvo prioritário
O fato de o Brasil aparecer entre os cinco países mais atacados pelo The Gentlemen não é casual. O país possui um dos maiores mercados digitais do mundo, forte presença de serviços financeiros, ampla adoção de meios de pagamento eletrônicos e um ecossistema crescente de empresas de tecnologia, startups e indústrias automatizadas.
Ao mesmo tempo, muitas organizações ainda convivem com:
– superfícies de ataque amplas e pouco inventariadas;
– serviços expostos à internet sem revisão periódica;
– credenciais fracas ou ausência de autenticação multifator (MFA);
– processos de gestão de vulnerabilidades pouco maduros;
– dependência excessiva de backups conectados ao ambiente de produção.
Esse conjunto de fatores torna o país particularmente atrativo para grupos com operação em modelo RaaS, que buscam volume e diversidade de alvos, equilibrando chance de pagamento e complexidade técnica.
Medidas de defesa recomendadas
Diante da sofisticação do The Gentlemen, o Heimdall ressalta que a proteção eficaz depende de uma estratégia multicamadas, que considere tecnologia, processos e pessoas. Entre as recomendações principais estão:
1. Auditoria rigorosa de serviços expostos
– Mapear todos os ativos acessíveis pela internet (servidores, aplicações web, VPNs, painéis administrativos).
– Desativar serviços desnecessários, restringir acessos por IP e aplicar hardening nas superfícies inevitavelmente expostas.
2. Autenticação multifator (MFA) em todos os acessos críticos
– Priorizar contas de administrador, acesso remoto (RDP, VPN) e painéis de gestão em nuvem.
– Evitar depender apenas de senha, já que credenciais vazadas e ataques de força bruta são rotineiramente explorados por operadores de ransomware.
3. Monitoramento e controle de privilégios, especialmente no Active Directory
– Reduzir ao mínimo o número de contas com privilégios elevados.
– Implementar revisão periódica de grupos administrativos, uso de contas separadas para tarefas privilegiadas e auditoria detalhada de alterações em diretórios, GPOs e objetos sensíveis.
4. Backups offline e imutáveis
– Manter cópias de segurança desconectadas do ambiente de produção ou em repositórios com políticas de imutabilidade.
– Testar frequentemente os procedimentos de restauração para garantir que a empresa consegue voltar a operar em prazos aceitáveis, mesmo diante da impossibilidade técnica de recuperar arquivos sem a chave dos criminosos.
5. Fortalecimento da detecção e resposta
– Investir em soluções capazes de identificar comportamentos anômalos, movimentação lateral, uso indevido de ferramentas administrativas e abuso de drivers.
– Complementar o monitoramento automatizado com atividades de threat hunting, buscando sinais de intrusão antes da fase de criptografia.
Entendendo o modelo RaaS para se defender melhor
Compreender o funcionamento do modelo Ransomware-as-a-Service ajuda as empresas a calibrar suas estratégias de defesa. Em vez de um grupo único responsável por todas as etapas, o ecossistema de RaaS envolve desenvolvedores, operadores, corretores de acesso inicial (que vendem credenciais ou pontos de entrada) e até negociadores especializados.
Isso significa que:
– Qualquer falha de segurança (um servidor desatualizado, uma senha vazada, uma VPN sem MFA) pode ser explorada por diferentes atores, em diferentes fases da cadeia de ataque.
– A velocidade de exploração de novas vulnerabilidades é alta, porque múltiplos afiliados competem para monetizar brechas recém-divulgadas.
– Bloquear apenas a etapa final (a criptografia) é insuficiente; é preciso focar em prevenção de acesso inicial, detecção de movimentação lateral e controle rígido de credenciais.
Indicadores de comprometimento e sinais de alerta
Embora o The Gentlemen invista pesado em evasão, alguns sinais podem indicar atividade suspeita antes que o ataque se concretize:
– instalação ou carregamento incomum de drivers, especialmente aqueles pouco utilizados no ambiente;
– criação de novas contas administrativas fora dos processos normais de TI;
– aumento inesperado no volume de transferência de dados para fora da rede;
– desativação ou falhas reiteradas de agentes de segurança em múltiplos endpoints;
– alterações não autorizadas em políticas de segurança, GPOs e configurações de EDR/AV.
Estabelecer regras de correlação e alertas específicos para esse tipo de comportamento é fundamental para ganhar tempo e reagir antes que o ransomware seja acionado.
Papel da governança e da conformidade regulatória
Além do impacto operacional, ataques de grupos como o The Gentlemen trazem riscos regulatórios significativos, especialmente quando há exfiltração de dados pessoais ou sensíveis. Normas de proteção de dados e exigências de comunicação a autoridades e titulares podem resultar em multas, ações judiciais e danos à imagem.
Por isso, a estratégia de defesa não pode ser tratada apenas como tema técnico. É necessário integrar segurança da informação, jurídico, compliance e alta gestão na definição de prioridades, no mapeamento de dados críticos e na construção de planos de continuidade de negócios que considerem cenários de sequestro e vazamento de informações.
Capacitação de equipes e cultura de segurança
Outro ponto-chave é o fator humano. Mesmo com ferramentas avançadas, erros de configuração, cliques em anexos maliciosos, uso de softwares não autorizados e negligência com senhas ainda são portas frequentes de entrada para atacantes. Ações contínuas de conscientização, treinamentos práticos e simulações de incidentes ajudam a criar uma cultura em que segurança passa a ser responsabilidade compartilhada.
Equipes técnicas, por sua vez, precisam de atualização constante sobre novas táticas, técnicas e procedimentos (TTPs) dos grupos mais ativos, incluindo o The Gentlemen. Workshops, exercícios de Red Team e Blue Team e revisões periódicas de arquitetura aumentam a capacidade de identificar e bloquear ameaças avançadas.
Resiliência como objetivo central
Como resume Hugo Santos, a presença de grupos como o The Gentlemen no cenário brasileiro eleva a régua para todos os tipos de organização, independentemente do porte. A questão já não é se a empresa será alvo, mas quando e quão preparada estará para detectar, conter e se recuperar de um incidente grave.
Construir resiliência passa por combinar prevenção, detecção precoce, resposta coordenada e capacidade de recuperação rápida. Em um contexto em que o cibercrime adota técnicas outrora restritas a operações de espionagem estatal, a única postura compatível é a de vigilância constante e aprimoramento contínuo da segurança, antes que o impacto se torne irreversível.