A relação entre a cibersegurança e o cinema não é nova: são muitos os filmes em que a trama principal se desenvolve no campo da segurança da informação.

Mas, no caso do ransomware The Gentlemen, a conexão é direta. Seu nome é uma homenagem à estética dos filmes de Guy Ritchie: trata-se de uma organização disciplinada, detalhista e altamente metódica que, graças a esse modus operandi, derrubou os esquemas tradicionais para se tornar uma das ameaças mais ativas desde julho de 2025.

Diferentemente de outros grupos, esse modelo de Ransomware as a Service (RaaS) estuda as defesas específicas da vítima e adapta suas ferramentas no meio da campanha para superar os controles existentes.

Conheça os bastidores desse grupo que, em apenas um trimestre, atacou mais de 30 vítimas em 17 países, atualmente já soma mais de 250 e representa uma nova era de ataques personalizados e ultra-adaptativos.

O que é o ransomware The Gentlemen?

É um grupo emergente de Ransomware as a Service (RaaS) que surgiu no cenário cibercriminoso em meados de 2025.

Diferentemente de outros grupos com estéticas mais descuidadas ou rústicas, o The Gentlemen se destaca por uma identidade de marca sofisticada, inspirada visualmente no estilo dos filmes de Guy Ritchie. A ponto de contar com um site de vazamentos na dark web com logotipo profissional e um lema que reforça sua imagem de organização disciplinada e altamente orientada aos detalhes.

Mas atenção: esse profissionalismo não é apenas estético, ele se reflete na precisão dos ataques e na qualidade técnica de suas ferramentas.

Seu modelo operacional se baseia na dupla extorsão, uma tática na qual não apenas os arquivos da vítima são criptografados para bloquear o acesso, mas também dados confidenciais são exfiltrados antes da criptografia. Uma vez em posse dessas informações, o grupo ameaça publicá-las em seu site de vazamentos caso o resgate não seja pago. Essa estratégia exerce uma pressão enorme sobre as empresas, especialmente aquelas que não podem se dar ao luxo de sofrer uma violação de dados pública.

gentlemen-ransomware-Raas-seguridad-3
Imagem 1. Site do ransomware The Gentlemen na dark web. Fonte: @DailyDarkWeb.

O que torna essa ameaça diferente?

Diferentemente dos modelos de sequência fixa, o The Gentlemen age com uma metodologia de reconhecimento cirúrgico, utilizando ferramentas como Advanced IP Scanner e Nmap para realizar um mapeamento exaustivo da infraestrutura e do Active Directory antes de qualquer implantação.

Durante essa fase, o grupo identifica especificamente contas de alta hierarquia e grupos relacionados à virtualização para traçar o caminho de menor resistência até o núcleo da rede.

Essa capacidade de adaptação é técnica e granular: para reduzir a detecção de anomalias, os operadores da ameaça podem executar o malware em modo silencioso, evitando a renomeação de arquivos, ou ajustar a velocidade de criptografia por meio de parâmetros específicos.

Se os controles de cibersegurança bloqueiam seu arsenal inicial, o grupo demonstra uma agilidade excepcional ao modificar suas ferramentas mid-campaign, evoluindo de utilitários genéricos de encerramento de processos (All.exe) para variantes personalizadas como Allpatch2.exe, projetadas especificamente para neutralizar os cibercriminosos detectados no ambiente da vítima.

A implantação final é orquestrada por meio da manipulação de Diretivas de Grupo (GPO) e do compartilhamento NETLOGON, o que garante uma propagação simultânea e em larga escala por todo o domínio.

Para blindar sua operação, o executável exige obrigatoriamente um parâmetro de senha de 8 bytes; essa medida de antianálise neutraliza sistemas automatizados de sandboxing, ao impedir que o código seja executado e revele seu comportamento sem a chave fornecida manualmente pelo grupo cibercriminoso.

Esse enfoque transforma cada intrusão em um projeto de engenharia sob medida, otimizando a eficácia da criptografia e da exfiltração de dados dentro de um modelo de dupla extorsão.

Anatomia de um ataque do The Gentlemen

Um ataque de ransomware conduzido pelo The Gentlemen geralmente começa com a exploração de acessos expostos na internet (sistemas com administração aberta) ou com o uso de credenciais previamente roubadas.

Uma vez dentro, o grupo implanta ferramentas para explorar a rede interna, entender como a empresa está estruturada e identificar usuários com privilégios elevados, especialmente aqueles com acesso total aos sistemas.

Para se movimentar pela rede e escalar o ataque, utilizam ferramentas que permitem executar ações remotamente em múltiplos dispositivos e modificar configurações críticas. Dessa forma, conseguem distribuir o ransomware de maneira simultânea em todos os dispositivos conectados, além de enfraquecer os mecanismos de segurança para facilitar o acesso e o controle remoto.

Na etapa final, combinam duas ações críticas: por um lado, exfiltram dados sensíveis e os enviam para servidores externos de forma criptografada; por outro, bloqueiam os sistemas por meio da criptografia.

Após a conclusão do ataque, executam processos projetados para apagar seus rastros: eliminam registros de atividades, conexões remotas e qualquer evidência que permita reconstruir o ocorrido, dificultando a investigação posterior.

Ataques e vitimologia

O The Gentlemen é um grupo emergente de RaaS. De fato, sua primeira vítima documentada foi registrada em 30 de junho de 2025 e, desde então, sua atividade não cessou. O grupo já impactou setores críticos como manufatura, construção, saúde, seguros e serviços financeiros.

gentlemen-ransomware-Raas-seguridad-2
Imagem 2. Detalhe das vítimas do The Gentlemen. Fonte: ransomware.live.

Em termos geográficos, seu impacto é global, mas os países mais afetados incluem Estados Unidos e Tailândia, seguidos por Índia, México, Colômbia, Espanha e França. Essa distribuição sugere que o grupo explora oportunidades de acesso onde quer que surjam, sem uma agenda geopolítica evidente.

The Gentlemen no Brasil

The Gentlemen ainda não figura entre os grupos mais massivos no Brasil, mas já demonstrou atuação alinhada ao seu padrão global: ataques direcionados, silenciosos e com alto impacto. O caso mais conhecido envolve uma instituição de ensino, evidenciando o uso de dupla extorsão, com exfiltração de dados e ameaça de vazamento.

De acordo com os dados do portal Ransomware.live, os ataques do The Gentlemen no Brasil atingiram múltiplos setores, refletindo o padrão diversificado do grupo. A partir das vítimas listadas no país, é possível identificar principalmente:

  • Educação (universidades e instituições de ensino);
  • Saúde (hospitais e cooperativas médicas);
  • Tecnologia (empresas de TI e serviços digitais);
  • Indústria/Manufatura (empresas industriais e produção);
  • Agronegócio (grupos ligados à produção agrícola);
  • Construção/Engenharia;
  • Serviços empresariais (consultorias, serviços especializados).

Assim como em outros países, o grupo criminoso explora acessos expostos e credenciais comprometidas para conduzir operações sob medida, mirando organizações com maior potencial de pressão financeira e reputacional. Em um cenário em que o Brasil segue como um dos principais alvos de ransomware na América Latina, esse tipo de abordagem reforça o risco de ataques menos frequentes, porém mais sofisticados e difíceis de detectar.

Checklist: como se proteger do ransomware The Gentlemen

  • Reduzir a exposição na internet: revisar quais sistemas estão acessíveis externamente e fechar qualquer acesso desnecessário, especialmente painéis de administração ou acessos remotos.
  • Proteger as credenciais: utilizar senhas únicas e fortes, ativar a autenticação em dois fatores e monitorar qualquer tentativa de login suspeita.
  • Manter tudo atualizado: aplicar patches de segurança em sistemas operacionais, servidores e aplicações. Muitas intrusões exploram vulnerabilidades já conhecidas.
  • Detectar comportamentos anômalos: implementar soluções que permitam identificar atividades incomuns na rede, como acessos fora do horário ou execuções remotas inesperadas.
  • Limitar privilégios: nem todos os usuários precisam de acesso total. Reduzir permissões minimiza o impacto caso uma conta seja comprometida.
  • Segmentar a rede: separar sistemas críticos impede que um invasor se mova livremente e comprometa toda a infraestrutura.
  • Realizar backups: fazer backups periódicos, armazená-los de forma isolada e verificar se podem ser restaurados corretamente.
  • Capacitar a equipe: o erro humano continua sendo uma das principais portas de entrada. A conscientização é essencial.

Em um cenário em que os ataques deixam de ser massivos e passam a ser personalizados, a pergunta deixa de ser se uma organização pode ser alvo e passa a ser quando. Entender como grupos como The Gentlemen agem é o primeiro passo para se antecipar a uma ameaça que já não avisa.