- Grupo russo The Gentlemen, ativo desde março de 2025, acumula 478 vítimas e respondia por about 10% de toda a atividade de ransomware em abril de 2026.
- O líder é Alexander Andreevich Yapaev, 36 anos, residente em Izhevsk, na Rússia.
- Originalmente atuava como afiliado de três redes de ransomware como serviço (RaaS): LockBit, Qilin e Medusa; em julho de 2025 lançou seu próprio programa de afiliados.
- A independência veio após um desentendimento financeiro com o Qilin, envolvendo alegações de golpe e suposta “porta dos fundos” no painel de controle.
- O modo de operação é de dupla extorsão: criptografam dados e roubam informações antes do ataque; o grupo explora falhas em dispositivos expostos na internet, como VPNs e firewalls da Cisco e Fortinet, para ingressar nas redes. A maioria das vítimas fica na Tailândia, Reino Unido, Brasil, Alemanha e Índia, com 13% nos Estados Unidos.
- O ransomware é escrito em Go e, quando acionado, pode se tornar um worm que se espalha autonomamente pela rede.
- Em abril de 2026, o grupo ofereceu 90% dos valores de resgate aos afiliados, exigindo comprovação de roubo mínimo de 1 GB de dados para acesso ao painel.
- A PRODAFT aponta uso intenso de IA pelo líder e relata que, no mesmo dia, os autores lançaram uma correção, enquanto pesquisadores publicaram uma ferramenta para descriptografar arquivos, sinalizando rapidez na resposta.
The Gentlemen é um grupo russo de ransomware que já acumula 478 vítimas em ataques ao redor do mundo desde março de 2025. Relatórios de empresas de cibersegurança, publicados ao longo de 2025 e 2026, detalham a operação e a identidade do líder, Alexander Andreevich Yapaev, de 36 anos, morador de Izhevsk.
O grupo atuou inicialmente como afiliado de redes de ransomware como serviço (RaaS). Plataformas de ataques eram fornecidas por organizações maiores, e terceiros pagavam para usar a infraestrutura, mantendo grande parte dos resgates. Com o tempo, o The Gentlemen rompeu com três “franquias” e lançou seu próprio programa de afiliados.
A ruptura com as franquias
A separação ganhou impulso após conflitos financeiros. Yapaev acusou o grupo Qilin de não repassar US$ 48 mil e divulgou alegações sobre uma eventual porta dos fundos no painel de controle. Outro membro, conhecido como LARVA-367 ou DevMan, endossou as acusações. Pesquisadores da PRODAFT não confirmam as afirmações e ponderam que as acusações poderiam buscar descredibilizar o Qilin.
Como o grupo opera
O modelo é de dupla extorsão: criptografam os arquivos e mantêm dados previamente roubados, ameaçando publicá-los se o pagamento não for feito. A invasão ocorre por meio de falhas em equipamentos expostos, como roteadores VPN e firewalls de Cisco e Fortinet. Em seguida, mapeiam redes, elevam privilégios e desativam proteções.
Inteligência artificial e técnica de ataque
O grupo utiliza IA para desenvolver o ransomware, criar novas ferramentas e orientar as invasões. O malware, escrito em Go, pode operar como worm autopropagável ao receber um comando específico, espalhando-se pela rede sem intervenção.
Vítimas e alcance geográfico
A maior parte das vítimas está na Tailândia, Reino Unido, Brasil, Alemanha e Índia. Nos Estados Unidos, apenas 13% das organizações foram atacadas, o que foge ao padrão de muitos ransomware. A divisão de lucros é de 90% aos afiliados e 10% ao operador, com exigência de comprovar roubo de ao menos 1 GB de dados para acesso ao painel.
Estrutura e operações do painel
Afiliados configuram ataques pelo painel dedicado, que requer nome da empresa-alvo, faturamento estimado e canais de comunicação criptografados antes de gerar o ransomware personalizado. O procedimento busca dificultar a infiltração de pesquisadores e autoridades.
Risco e resposta
Em abril de 2026, o grupo lançou uma correção no ransomware no mesmo dia em que pesquisadores divulgaram uma ferramenta de descriptografia. A rápida resposta evidencia alto nível de organização e capacidade de adaptação do The Gentlemen.
Entre na conversa da comunidade