Novo grupo de ransomware “The Gentlemen” coloca o Brasil no centro de sua mira
Um novo protagonista do cibercrime global está em plena ascensão e já trata o Brasil como terreno prioritário. Batizado de The Gentlemen, o grupo de ransomware vem ganhando relevância ao combinar um modelo de negócios lucrativo com técnicas avançadas de evasão, tradicionalmente associadas a operações de espionagem estatal.
De acordo com levantamento da Heimdall, divisão de pesquisa e inteligência da ISH Tecnologia, a operação criminosa já fez mais de 140 vítimas ao redor do mundo. O Brasil figura entre os cinco países mais afetados, o que demonstra não apenas o grau de exposição digital do país, mas também o interesse estratégico do grupo em explorar brechas de segurança em organizações brasileiras.
Ransomware-as-a-Service em ação
O The Gentlemen atua no modelo Ransomware-as-a-Service (RaaS). Nesse formato, desenvolvedores do malware fornecem a infraestrutura e o código malicioso a afiliados, que são responsáveis por conduzir os ataques em campo. Em troca, o lucro obtido com os pagamentos de resgate é dividido entre os operadores centrais e os parceiros.
Esse modelo reduz barreiras de entrada para cibercriminosos menos técnicos e amplia de forma exponencial o alcance da operação. Em vez de um único grupo atacando diretamente, surge um ecossistema criminoso com múltiplos atores, todos utilizando a mesma família de ransomware, porém com variações táticas, alvos diferenciados e horários de ataque diversos.
Setores mais visados no Brasil e no mundo
A análise da Heimdall indica que o The Gentlemen concentra esforços em setores considerados críticos para a continuidade dos negócios e para a economia. Entre os segmentos mais atacados estão:
– Manufatura e indústria
– Tecnologia da informação e serviços digitais
– Serviços financeiros e instituições relacionadas
– Empresas com forte dependência de sistemas de gestão e operação 24×7
Organizações desses ramos possuem baixa tolerância a interrupções. Uma paralisação de horas em linhas de produção, processamento de pagamentos ou sistemas bancários pode causar prejuízos milionários e forte impacto reputacional. É justamente essa pressão operacional que o grupo explora para forçar o pagamento rápido dos resgates.
Técnicas de evasão de alto nível
O que diferencia o The Gentlemen de inúmeras outras famílias de ransomware é a sofisticação de suas técnicas para burlar defesas de segurança. Em vez de simplesmente tentar criptografar arquivos e torcer para não ser bloqueado, o grupo dedica grande parte do esforço a neutralizar as camadas de proteção antes de iniciar o ataque final.
Segundo os especialistas da ISH, o grupo explora vulnerabilidades em drivers legítimos do sistema operacional para escalar privilégios e obter controle amplo da máquina. Com acesso administrativo, os criminosos passam a desativar ou “cegar” soluções de segurança como EDR (Endpoint Detection and Response) e antivírus tradicionais, reduzindo drasticamente as chances de detecção em tempo hábil.
Outro elemento relevante é o uso de senha manual para execução do malware. O arquivo malicioso só é ativado após a inserção de um código específico, geralmente conhecido apenas pelo operador humano envolvido no ataque. Essa exigência de interação humana dificulta a análise automatizada em ambientes de sandbox ou em ferramentas de detecção baseadas em comportamento, que muitas vezes dependem de executar o arquivo de forma automatizada para entendê-lo.
Um salto de maturidade no cibercrime
Para Hugo Santos, Diretor de Inteligência de Ameaças da ISH Tecnologia, o surgimento do The Gentlemen representa um marco na evolução do cibercrime voltado a extorsão. Ele ressalta que o grupo não se comporta como uma gangue oportunista, mas como uma operação estruturada, com planejamento, uso de inteligência e uma clara compreensão das fragilidades dos ecossistemas corporativos.
De acordo com o executivo, o uso de técnicas de evasão anteriormente associadas a grupos de espionagem patrocinados por Estados mostra um perigoso intercâmbio entre o mundo do ciberespionagem e o do cibercrime financeiro. A migração dessas táticas para o universo do ransomware eleva o patamar de exigência para as defesas das empresas, que deixam de lidar apenas com ataques de massa e passam a enfrentar campanhas mais direcionadas, furtivas e tecnicamente complexas.
Dupla extorsão: sequestro e chantagem pública
Além da criptografia dos dados e da paralisação das operações, o The Gentlemen adota uma estratégia de dupla extorsão. Antes de bloquear os sistemas, o grupo realiza a exfiltração de informações sensíveis: documentos confidenciais, dados pessoais de clientes, contratos, registros financeiros e arquivos estratégicos.
Com esse material em mãos, os criminosos passam a chantagear as vítimas em duas frentes:
1. Exigem pagamento para fornecer a chave de descriptografia e permitir o retorno das operações.
2. Ameaçam divulgar ou vender as informações roubadas em portais na dark web, caso a empresa se recuse a negociar.
Essa abordagem amplia a pressão sobre a organização atacada. Mesmo que a empresa consiga restaurar os sistemas a partir de backups, o risco de exposição pública de dados sigilosos continua servindo como instrumento de coerção. Em muitos casos, o impacto reputacional e regulatório de um vazamento se torna tão grave quanto a própria indisponibilidade dos sistemas.
Por que o Brasil virou alvo prioritário
O fato de o Brasil estar entre os países mais atacados pelo The Gentlemen não é mera coincidência. O país combina alguns fatores que o tornam especialmente atraente:
– Grande número de empresas em processo de transformação digital, muitas ainda com ambientes híbridos e legados vulneráveis.
– Ecossistema regulatório em amadurecimento, com organizações que nem sempre possuem planos de resposta a incidentes bem testados.
– Alto volume de serviços online em setores como varejo, finanças, indústria e serviços públicos.
– Nível desigual de maturidade em segurança entre empresas grandes e cadeias de fornecedores menores, frequentemente usadas como porta de entrada.
Além disso, a profissionalização crescente do cibercrime no país faz com que afiliados locais de esquemas RaaS tenham boa compreensão da realidade das empresas brasileiras, ajustando linguagem, horários, canais de contato e valor de resgate ao contexto nacional.
O que torna a recuperação tão difícil
Um dos pontos enfatizados pela Heimdall é a inviabilidade técnica de recuperar arquivos criptografados sem a chave em posse dos criminosos. Os algoritmos de criptografia utilizados em campanhas modernas de ransomware são robustos e, até o momento, não há métodos viáveis de quebra por força bruta em tempo hábil.
Isso significa que a recuperação efetiva depende de:
– Backups íntegros, recentes e testados
– Armazenamento de cópias em ambientes offline ou imutáveis
– Procedimentos claros de restauração e continuidade de negócios
Empresas que negligenciam essas práticas acabam diante de um dilema: perder dados e enfrentar interrupções prolongadas ou ceder à extorsão – algo que, além de não garantir a destruição dos dados vazados, pode incentivar novos ataques.
Estratégia de defesa: além do antivírus
Frente à sofisticação demonstrada pelo The Gentlemen, especialistas reforçam que abordagens reativas baseadas apenas em antivírus tradicional, firewall e correções pontuais não são mais suficientes. A Heimdall recomenda uma estratégia de segurança em múltiplas camadas, com foco tanto na prevenção quanto na detecção precoce e na resposta coordenada.
Entre os principais pilares dessa estratégia estão:
– Auditoria constante de serviços expostos à internet, com redução da superfície de ataque.
– Implementação rigorosa de autenticação multifator (MFA), especialmente para acessos remotos, VPNs, painéis de administração e sistemas críticos.
– Monitoramento de privilégios e credenciais em ambientes como o Active Directory, evitando contas com permissões excessivas ou uso incorreto de contas de serviço.
– Segmentação de rede e limitação de movimentação lateral, de modo a impedir que o atacante, uma vez dentro, se espalhe rapidamente.
– Monitoramento contínuo de eventos de segurança, com correlação de logs e detecção de comportamentos anômalos.
– Backups offline, imutáveis e submetidos a testes periódicos de restauração.
A importância da caça proativa a ameaças
Um dos pontos mais enfatizados por Hugo Santos é a necessidade de abandonar uma postura puramente reativa. Em um cenário em que grupos como o The Gentlemen operam com técnicas furtivas e exploram brechas avançadas, esperar pelo alerta de uma ferramenta para só então agir é, muitas vezes, tarde demais.
A chamada caça proativa a ameaças (threat hunting) ganha centralidade. Trata-se de uma prática em que equipes de segurança saem deliberadamente em busca de sinais de comprometimento já existentes no ambiente, cruzando indicadores técnicos, padrões de tráfego, comportamento de usuários e eventuais anomalias que escapem dos mecanismos tradicionais.
Essa abordagem permite identificar atividades suspeitas ainda na fase de reconhecimento ou de movimentação lateral, antes que a criptografia em massa seja iniciada. Em muitos casos, a intervenção precoce pode significar a diferença entre um incidente contido e uma crise de grandes proporções.
Cultura, treinamento e governança
Embora a tecnologia seja peça-chave, a defesa contra grupos como o The Gentlemen também passa por pessoas e processos. Muitos ataques de ransomware ainda começam com um único clique em um anexo malicioso, o uso de senha fraca ou a reutilização de credenciais vazadas em outros serviços.
Por isso, investir apenas em ferramentas sem fortalecer a cultura de segurança é um erro recorrente. Organizações mais resilientes tendem a:
– Conduzir treinamentos regulares de conscientização para colaboradores.
– Simular campanhas de phishing para avaliar e melhorar o comportamento dos usuários.
– Estabelecer políticas claras de senhas, acessos, uso de dispositivos e resposta a incidentes.
– Envolver as lideranças de negócio e não apenas a área de TI na discussão sobre riscos cibernéticos.
Quando a segurança é tratada como parte da governança corporativa e não apenas como um custo tecnológico, decisões sobre investimentos, priorização de projetos e gestão de terceiros passam a considerar, desde o início, o impacto potencial de um ataque.
Preparação para o “pior dia”
Um aprendizado comum entre empresas que já passaram por incidentes graves é a importância de planejar o “pior dia” antes que ele aconteça. Isso significa ter, previamente:
– Um plano de resposta a incidentes documentado e testado.
– Papéis e responsabilidades definidos, incluindo porta-vozes para comunicação interna e externa.
– Procedimentos para isolamento rápido de segmentos de rede comprometidos.
– Estratégias para retomada gradual das operações, priorizando sistemas essenciais.
O aparecimento de grupos como o The Gentlemen deixa claro que a questão não é mais “se” uma organização será alvo, mas “quando” e em que nível. A diferença entre um evento controlado e um desastre prolongado está diretamente associada ao grau de preparo prévio.
Um novo patamar de exigência para o Brasil
A ofensiva do The Gentlemen reforça que o Brasil entrou de vez no radar dos cibercriminosos globais mais avançados. Em vez de ataques amadores ou generalistas, o país passa a conviver com operações que estudam alvos, exploram brechas específicas e usam táticas sofisticadas para contornar defesas.
Nesse cenário, a resiliência cibernética depende de uma combinação de tecnologia adequada, processos bem definidos e postura ativa de detecção de ameaças. Elevar o nível de maturidade em segurança da informação deixou de ser uma opção estratégica para se tornar um requisito de sobrevivência em um ambiente digital cada vez mais hostil.