Pesquisadores de segurança identificaram um novo grupo de ransomware conhecido como Gentlemen que realizou ataques de extorsão contra organizações em várias regiões. Os pesquisadores relataram atividades ligadas ao grupo em pelo menos 17 países da América do Norte, América do Sul, região Ásia-Pacífico e Oriente Médio. O escopo da campanha sugere que o grupo opera em escala e é capaz de sustentar ataques coordenados contra uma ampla gama de alvos.
O Gentlemen grupo apareceu pela primeira vez em meados de 2025 e rapidamente começou a reivindicar vítimas em vários setores. As metas relatadas incluem organizações das áreas de manufatura, construção, saúde e seguros. Analistas disseram que esses setores frequentemente dependem da disponibilidade contínua dos sistemas e gerenciam dados sensíveis, tornando-os atraentes para operadores de ransomware que buscam maximizar a pressão durante tentativas de extorsão.
O grupo utiliza um modelo de dupla extorsão que combina criptografia de arquivos com roubo de dados. Após obter acesso a uma rede, os atacantes criptografam sistemas críticos e exfiltram informações sensíveis. As vítimas são então ameaçadas com divulgação pública dos dados roubados caso as exigências de pagamento não sejam atendidas. Pesquisadores disseram que essa abordagem aumenta a influência ao criar tanto interrupções operacionais quanto possíveis consequências legais ou reputacionais.
Investigações sobre os métodos do grupo indicam um alto nível de capacidade técnica. Analistas observaram o uso de drivers legítimos para burlar controles de segurança e ferramentas personalizadas projetadas para desativar softwares de proteção. Os atacantes também realizam reconhecimento detalhado das redes-alvo antes de implantar ransomware, permitindo que adaptem suas técnicas ao ambiente encontrado. Essa flexibilidade tornou a detecção e contenção mais difíceis para as organizações afetadas.
Acredita-se que a Gentlemen operação utilize um modelo de ransomware como serviço. Sob essa estrutura, os operadores principais desenvolvem e mantêm o malware, enquanto os afiliados fornecem acesso às redes vítimas ou auxiliam na implantação. Em troca, os afiliados recebem uma parte dos pagamentos de resgate. Pesquisadores disseram que esse modelo possibilita uma rápida expansão ao permitir que múltiplos atores participem sem precisar construir sua própria infraestrutura do início.
As vítimas relataram perturbações significativas após ataques atribuídos ao grupo. Sistemas criptografados interromperam as operações comerciais e forçaram organizações a suspender os serviços enquanto os esforços de recuperação estavam em andamento. Em casos envolvendo roubo de dados, as organizações enfrentaram riscos adicionais relacionados à exposição de dados, conformidade regulatória e perda de confiança. Analistas disseram que, mesmo quando os sistemas são restaurados, a ameaça de vazamento de dados pode persistir.
Especialistas em cibersegurança afirmaram que o surgimento de Gentlemen destaca mudanças contínuas na atividade de ransomware. Os grupos estão cada vez mais combinando sofisticação técnica com táticas refinadas de extorsão para melhorar as taxas de sucesso. Especialistas aconselharam as organizações a focarem em medidas preventivas, como backups offline regulares, controles rigorosos de acesso e monitoramento contínuo para atividades incomuns. Eles também enfatizaram a importância do planejamento da resposta a incidentes para limitar os danos caso ocorra uma invasão.
Pesquisadores disseram que a campanha demonstra que o ransomware continua sendo uma ameaça persistente e em constante evolução. A expansão de novos grupos reflete Gentlemen uma tendência mais ampla em que operações cibercriminosas se adaptam e expandem rapidamente, exigindo atenção contínua de organizações de todos os setores.