Nos últimos meses, tornou-se evidente uma verdade desconfortável: o ecossistema do ransomware se profissionalizou até parecer uma indústria ao serviço do crime. Um exemplo recente e especialmente atraente é a operação conhecida como The Gentlemen, um serviço de ransomware-como-serviço (RaaS) que, desde sua aparição em julho de 2025, tem escalado rapidamente e sofisticação para operar em grande escala.
Pesquisadores de segurança descobriram que atores vinculados a The Gentlemen tentaram implantar um conhecido proxy malicioso chamado SystemBC. A assinatura Check Point Research concluiu que o servidor de comando e controle (C2) associado ao SystemBC permitiu descobrir uma botnet que afeta mais de 1.570 redes corporativas. SystemBC não é um simples backdoor: estabelece túneis SOCKS5 dentro do ambiente comprometido e comunica com o seu C2 através de um protocolo próprio cifrado com RC4, além de poder baixar e executar cargas úteis que podem ser escritas em disco ou injetadas diretamente em memória. Esses detalhes estão coletados nas análises de assinaturas e publicações da indústria, entre elas as notas públicas dos fabricantes de segurança. (Check Point Research)
A versatilidade de The Gentlemen explica em parte sua expansão: opera sob um esquema de dupla extorsão e mostrou capacidade para afetar ambientes Windows, Linux, NAS e sistemas BSD. Sua encriptação está desenvolvida em Go e o grupo combina ferramentas legítimas – como drivers adulterados – com utilitários maliciosas próprias para evitar controles. A corrente habitual de intrusão começa com acesso inicial que, por agora, não está totalmente esclarecida: tudo aponta para o abuso de serviços expostos à Internet ou credenciais comprometidas. A partir daí executam reconhecimento interno, movimento lateral, staging de cargas como Cobalt Strike ou SystemBC, técnicas de evasão e finalmente implantação do ransomware.
Uma característica perigosamente eficaz é a exploração de objetos de diretiva de domínio (GPO) para propagar mudanças em escala em redes corporativas e conseguir um compromisso massivo em um único golpe. Além disso, pesquisas de outros fornecedores documentaram como os operadores de The Gentlemen adaptam suas ferramentas e táticas às defesas detectadas em cada vítima, o que implica uma fase de reconhecimento profundo e modificações de software para contornar soluções de segurança concretas. (Tendência Micro)
No caso observado pela Check Point, um afiliado desenvolveu o SystemBC em um host comprometido e o C2 ligado a esse proxy estava controlando centenas de vítimas distribuídas por todo o mundo, com incidências relatadas nos Estados Unidos, Reino Unido, Alemanha, Austrália e Roménia. Embora o SystemBC seja conhecido na cena do cibercrime desde 2020, não está claro até que ponto faz parte do roteiro padrão de The Gentlemen ou se foi empregado por um afiliado concreto para tarefas de exfiltração e acesso remoto nesta campanha.
O modus operandi durante o movimento lateral revela uma abordagem metódico para neutralizar defesas: os atacantes empurram scripts do PowerShell que tentam desativar a proteção em tempo real do Windows Defender, adicionar exclusões amplas para discos e processos, desligar o corta-fogo, reativar SMBv1 e relaxar controles de acesso anônimo do subsistema LSA, tudo antes de implantar o binário da criptografia na máquina remota. Estas acções mostram uma intenção clara de deixar o terreno o mais limpo possível para a cifra sem interrupções.
Quando a vítima é um servidor VMware ESXi, a variante do ransomware simplifica-se em funcionalidades, mas incorpora ações específicas para ambientes virtualizados: apaga máquinas virtuais para facilitar o impacto, persiste por tarefas programadas tipo crontab e executa passos para impedir a recuperação antes de cifrar. Essa especialização entre variantes do Windows e ESXi é uma tendência que estamos assistindo cada vez mais frequentemente em operadores que desejam maximizar danos em infraestruturas críticas.
Nas palavras de um dos pesquisadores que acedeu a servidores operacionais do grupo, a arquitetura comercial de The Gentlemen é parte do sucesso: conseguiram atrair afiliados oferecendo-lhes condições mais vantajosas que a concorrência, e o que emergiu da análise interna foi uma rede de mais de 1.570 redes corporativas comprometidas que ainda não haviam aparecido nos listados públicos de vítimas. Esse número sugere que a magnitude real da operação supera com cresce o que se conhece na superfície.
Enquanto isso, outros atores e famílias de ransomware continuam evoluindo. A assinatura Rapid7 tem documentado o aparecimento de Kyber, uma família relativamente nova que se tornou pública em setembro de 2025 e que aponta tanto para o Windows como para infra-estruturas VMware ESXi. Kyber usa criptografadores escritos em Rust para a variante Windows e em C++ para a variante que ataca ESXi; esta última inclui capacidades de criptografia de datastores, terminação opcional de máquinas virtuais e até a defacement de interfaces de gestão, o que evidencia uma tendência para a especialização por plataforma em vez de complexidade desnecessária. (Rapid7)
Os dados agregados por vários observadores mostram que a pressão dos ataques não remete: segundo compilações de incidentes, no primeiro trimestre de 2026 foram registrados pelo menos 2.059 incidentes de ransomware e extorsão digital, com março como mês pico e mais de 700 eventos. Entre os grupos mais ativos nesse período destacaram Qilin, Akira, The Gentlemen, INC Ransom e Cl0p. Um aspecto marcante no caso de The Gentlemen é a variação regional de suas vítimas: em trimestres anteriores a porcentagem de objetivos na América do Norte oscilou de maneira notável, o que rompe com padrões habituais de outros coletivos de extorsão digital. (ZeroFox)
Os relatórios mais amplos sobre a evolução do ransomware apontam para a maturação do fenômeno: tornou-se uma maquinaria criminosa orientada para o negócio, com cadeias de fornecimento compartilhadas, especialização de papéis e rápida regeneração após as intervenções policiais. Tendências como tentativas de anular soluções Endpoint Detection and Response, a reutilização de drivers vulneráveis como vetor de escalada (Bring Your Own Vulnerable Driver), a difuminação entre campanhas estaduais e criminosas e um maior foco em PME e ambientes de tecnologia operacional foram descritas por analistas do setor. O setor automóvel, por exemplo, doou o número de incidentes em 2025 e concentrou uma parte significativa das afetações relatadas nesse âmbito. (CISA)
Outro dado preocupante é que os tempos de permanência do atacante dentro das redes (dwell time) diminuíram drasticamente: muitas intrusões se orquestram e executam durante noites e fins de semana para ganhar velocidade e restar capacidade de resposta à equipe de segurança. Uma porcentagem elevada de tentativas é realizada em faixas onde a supervisão é mais fraca, e alguns atores como Akira demonstraram a capacidade de escalar desde a primeira intrusão até a cifra completa em questão de uma hora em certos cenários.
Diante deste panorama, a recomendação para equipes de segurança e responsáveis por TI é prospectiva e prática: endurecer a exposição de serviços à Internet, aplicar autenticação multifator e rotação de credenciais, segmentar redes para limitar o alcance do movimento lateral, monitorar e restringir mudanças em GPOs, manter cópias de segurança offline e validadas e, fundamentalmente, ter estratégias de resposta rápida que contemplem detecção noturna e fins de semana. Além disso, é imprescindível aplicar os guias e recursos publicados por organismos oficiais e fornecedores de segurança para endurecer endpoints e ambientes virtualizados. (Microsoft Security)
A realidade é que enfrentamos rivais que operam como negócios: competem por afiliados, especializam ferramentas segundo o objetivo e otimizam processos para causar o máximo dano no menor tempo. Conhecer suas táticas e aplicar defesas acordes não garante imunidade, mas sim reduz a superfície de ataque e a probabilidade de se tornar a próxima vítima difundida em uma lista pública de extorsão. Para aqueles que querem aprofundar as pesquisas e recomendações públicas, os relatórios das equipes de resposta e as publicações dos fabricantes ainda são uma fonte imprescindível de inteligência. (The Hacker News) Oferece também cobertura contínua que sintetiza achados e atualizações em tempo real.
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...
YellowKey A falha do BitLocker que poderia permitir a um atacante desbloquear sua unidade com apenas acesso físico
A Microsoft publicou uma mitigação para uma vulnerabilidade de omissão de segurança de BitLocker conhecida como YellowKey (CVE-2026-45585), depois de seu teste de conceito ser d...