Uma nova ameaça de ransomware chamada “The Gentlemen” surgiu no cenário da segurança cibernética, demonstrando capacidades avançadas de ataque e um modelo operacional bem estruturado.
Aparecendo pela primeira vez por volta de julho de 2025, este grupo rapidamente se estabeleceu como uma ameaça séria, publicando 48 vítimas em seu site de vazamento na dark web entre setembro e outubro de 2025.
O ransomware opera como uma plataforma Ransomware como serviço, permitindo que afiliados implantem ataques enquanto os principais operadores mantêm o controle sobre a infraestrutura e os processos de negociação.
The Gentlemen emprega uma estratégia de dupla extorsão que combina criptografia de arquivos com roubo de dados. Esta abordagem não apenas bloqueia as vítimas dos seus sistemas, mas também cria pressão adicional ao ameaçar divulgar informações roubadas em sites de vazamento da dark web, a menos que os pedidos de resgate sejam atendidos.
DLS ‘The Gentlemen’ está online (Fonte – Cybereason)
Antes de lançar a sua própria plataforma RaaS, os operadores experimentaram vários modelos de afiliados de outros grupos proeminentes de ransomware, o que os ajudou a refinar os seus métodos e a desenvolver uma operação mais sofisticada.
Os pesquisadores de segurança da Cybereason identificaram que o ransomware tem como alvo as plataformas Windows, Linux e ESXi com ferramentas de criptografia especializadas.
O malware usa algoritmos de criptografia XChaCha20 e Curve25519 para proteger os arquivos, tornando a recuperação sem a chave de descriptografia extremamente difícil.
Atualizações recentes introduziram funcionalidade de reinicialização automática e execução na inicialização, melhorando a persistência em sistemas comprometidos.
Capacidades de propagação de rede e movimento lateral
O ransomware se espalha pelas redes usando técnicas de comunicação remota do Windows Management Instrumentation e do PowerShell. Quando executado, o malware requer um argumento de senha para iniciar sua rotina de criptografia.
Ele oferece suporte a vários modos operacionais, incluindo criptografia em nível de sistema sob privilégios SYSTEM e criptografia de compartilhamento de rede por meio de unidades mapeadas e caminhos UNC.
O malware desativa o Windows Defender executando comandos do PowerShell que desativam a proteção em tempo real e adicionam diretórios e processos a listas de exclusão.
O ransomware ‘The Gentlemen’ é escrito usando técnicas de ‘vibecoding’ (Fonte – Cybereason)
Ele também permite a descoberta de redes e regras de firewall, facilitando a movimentação lateral nas redes corporativas.
O ransomware tem como alvo serviços e processos críticos, incluindo mecanismos de banco de dados como MSSQL e MySQL, utilitários de backup como Veeam e serviços de virtualização como VMware.
Para evitar a detecção e complicar as investigações forenses, o malware exclui logs de eventos do Windows, logs de conexão RDP, arquivos de suporte do Windows Defender e dados de pré-busca.
Essa abordagem antiforense prejudica significativamente os esforços de resposta a incidentes e torna a reconstrução do cronograma mais desafiadora para as equipes de segurança que investigam o ataque.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas. Defina CSN como fonte preferencial no Google.
