O grupo The Gentlemen representa uma nova fase do ransomware: menos oportunista, mais operacional, mais distribuída e muito mais agressiva na neutralização das defesas antes da criptografia.
Lançado em 2025 e estruturado como Ransomware-as-a-Service, o grupo cresceu rapidamente ao oferecer um modelo altamente atrativo para afiliados: até 90% do resgate para quem executa a invasão. O resultado é uma operação escalável, com múltiplos afiliados, vítimas em dezenas de países e foco claro em ambientes corporativos com alta dependência operacional.
No Brasil o grupo já representa 21% dos ataques reportados. Manufatura, educação, saúde e engenharia lideram os setores afetados e o país já disponta com o 2º no ranking global de ataques do Thegentlemen.
Do ponto de vista técnico, o The Gentlemen combina dupla extorsão, exfiltração de dados, criptografia multiplataforma e técnicas de evasão avançadas. Relatórios técnicos indicam uso de payloads em Go, variantes para diferentes sistemas, abuso de ferramentas legítimas, alteração de regras de firewall, remoção de shadow copies e desativação de mecanismos defensivos antes da etapa final de criptografia.
O ponto mais crítico, porém, está na fase anterior ao impacto: o grupo e seus afiliados exploram acessos expostos, credenciais administrativas comprometidas, infraestrutura VPN/firewall vulnerável e técnicas de Bring Your Own Vulnerable Driver — BYOVD para neutralizar EDRs e antivírus em nível mais profundo do sistema.
Isso confirma uma tendência que deve estar no radar de qualquer SOC moderno: ransomware hoje não começa na criptografia; começa na perda silenciosa de controle sobre identidade, configuração, exposição externa e comportamento anômalo.
Para analistas, a lição é que a defesa precisa correlacionar sinais anteriores a criptografia, como:
- Exposição de VPNs e firewalls vulneráveis.
- Uso anômalo de credenciais administrativas.
- Tentativas de desativação de EDR/AV.
- Execução de drivers suspeitos ou vulneráveis.
- Movimentação lateral e transferência incomum de dados.
- Alterações em políticas, GPOs, regras de firewall e serviços de segurança.
Para CISOs, o The Gentlemen reforça uma mensagem estratégica: ransomware deixou de ser apenas um problema de endpoint. É um problema de arquitetura de defesa, governança de acesso, visibilidade integrada, resposta automatizada e inteligência contínua contra ameaças.
No cenário atual, a pergunta não é se o ransomware vai tentar chegar até a sua organização. A pergunta é se a sua operação de segurança consegue identificar o ataque antes que ele se torne notícia, uma paralisação operacional ou uma crise regulatória.
Com mais de 5.000 clientes corporativos protegendo mais de 2 milhões de usuários, a Blockbit é a maior fabricante de soluções de cibersegurança do Brasil e pode auxiliar você a proteger o seu negócio das mais diversas ameaças, vulnerabilidades e ataques cibernéticos, sejam internos ou externos, genéricos ou direcionados.
Quer saber mais? Entre em contato com a gente pelo e-mail contato@blockbit.com, pelo telefone (11) 2165-8888 ou pelo WhatsApp (11) 5039-2127 e conheça nossas soluções.