){kind=link}
Um grupo russo de ransomware conhecido como The Gentlemen foi identificado e detalhado em uma série de relatórios de empresas de cibersegurança ao longo de 2025 e 2026. A operação, ativa desde março de 2025, já acumula 478 vítimas ao redor do mundo e responde por 10% de toda a atividade de ransomware registrada em abril de 2026. O líder do grupo, identificado como Alexander Andreevich Yapaev, tem 36 anos e mora na cidade russa de Izhevsk.
O grupo não nasceu independente. No início, funcionava como afiliado de outros esquemas criminosos maiores, conhecidos no mercado cibercriminoso como RaaS, ou ransomware como serviço. O que geralmente acontece é que grupos criminosos maiores desenvolvem o software malicioso e disponibilizam toda a infraestrutura necessária para ataques. Outros criminosos, chamados de afiliados, pagam para usar essa estrutura e ficam com a maior parte do dinheiro dos resgates.
smart_display
Nossos vídeos em destaque
O grupo de Yapaev operou como afiliado de três dessas “franquias” criminosas: LockBit, Qilin e Medusa, todas rastreadas por empresas de segurança com nomes próprios. Em julho de 2025, o grupo cortou os laços com essas operações e lançou o próprio programa de afiliados, batizado de The Gentlemen.
A briga que acelerou a independência
A separação foi acelerada por uma briga de dinheiro. Yapaev acusou o grupo Qilin de aplicar um golpe e não repassar US$ 48 mil que lhe eram devidos.
Ele e outro membro do grupo, identificado como LARVA-367 ou DevMan, espalharam acusações de que o Qilin tinha uma “porta dos fundos” no painel de controle dos afiliados, o que permitiria que a operação roubasse dados das vítimas sem o conhecimento dos parceiros.
)
Pesquisadores da empresa suíça PRODAFT não confirmaram se as acusações eram verdadeiras. Eles levantaram a hipótese de que as alegações podem ter sido uma estratégia para desacreditar o Qilin e recrutar os afiliados da concorrência.
Como os ataques funcionam
O modelo de negócio do The Gentlemen é o de dupla extorsão. Basicamente, os criminosos não apenas travam os arquivos da vítima com criptografia e cobram resgate para devolver o acesso. Eles também roubam os dados antes de criptografá-los e ameaçam publicá-los caso o pagamento não seja feito.
Para entrar nas redes das vítimas, o grupo explora falhas em equipamentos de segurança expostos à internet, como roteadores VPN e firewalls de marcas como Cisco e Fortinet. Isso porque esses dispositivos são a “porta de entrada” das redes corporativas e, quando têm vulnerabilidades, permitem acesso remoto sem que ninguém perceba.
)
Depois de entrar, o grupo fica entre duas e seis semanas dentro da rede da vítima antes de ativar o ransomware. Nesse período, os criminosos mapeiam toda a estrutura interna, elevam os próprios privilégios de acesso, desativam sistemas de segurança e roubam os dados.
Para dificultar a detecção, o grupo apaga registros de atividade do Windows, desativa o Microsoft Defender e usa técnicas para contornar softwares de proteção.
Inteligência artificial no crime
Um detalhe que chama atenção nos relatórios é o uso intensivo de inteligência artificial por Yapaev. Segundo a PRODAFT, ele usa IA para desenvolver e manter o ransomware, criar outras ferramentas de ataque e obter orientações durante as invasões.
)
O ransomware em si é escrito na linguagem de programação Go e tem uma característica única. Quando ativado com um comando específico, ele se transforma em um worm autopropagável, ou seja, se espalha automaticamente para todos os computadores acessíveis na mesma rede, sem precisar de intervenção manual dos criminosos.
Quem são as vítimas
A maioria das vítimas está na Tailândia, no Reino Unido, no Brasil, na Alemanha e na Índia. Apenas 13% das organizações atacadas ficam nos Estados Unidos, o que é incomum para grupos de ransomware, que costumam focar em alvos americanos por conta dos valores de resgate mais altos.
O modelo de divisão de lucros atrai afiliados com uma proposta agressiva: 90% do valor do resgate fica com o afiliado e apenas 10% vai para o operador. Para ter acesso ao painel de controle do grupo, o candidato precisa comprovar que já roubou ao menos 1 GB de dados de uma vítima real, o que serve como barreira contra infiltração de pesquisadores e policiais.
)
Em abril de 2026, o grupo lançou uma correção no próprio ransomware no mesmo dia em que pesquisadores publicaram uma ferramenta capaz de descriptografar os arquivos das vítimas, mostrando um nível de organização e velocidade de resposta que preocupa especialistas.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.