Virus & Malware Cibersegurança

Ransomware The Gentlemen reivindica 478 vítimas e pode se espalhar como um worm

Uma nova análise da operação The Gentlemen revelou que o grupo de ameaça, com motivações financeiras, operou inicialmente como afiliado responsável por conduzir ataques de dupla extorsão, aproveitando recursos de diversos esquemas de ransomware como serviço (RaaS) como LockBit, Qilin e Medusa. O grupo, acompanhado pela PRODAFT como Phantom Mantis, é liderado por um cibercriminoso de língua russa e já reivindica 478 vítimas desde março de 2025.

Ravie Lakshmanan Quinta - 11 de Junho de 2026 às 16:11
The Hacker News

Uma nova análise da operação The Gentlemen revelou que o grupo de ameaça, com motivações financeiras, operou inicialmente como afiliado responsável por conduzir ataques de dupla extorsão, aproveitando recursos de diversos esquemas de ransomware como serviço (RaaS), como LockBit (também conhecido como Tenacious Mantis), Qilin (Pestilent Mantis) e Medusa (Venomous Mantis).

De acordo com um relatório detalhado publicado pela PRODAFT, o grupo, que ela acompanha como Phantom Mantis, é liderado por um cibercriminoso de língua russa que ela chama de LARVA-368, e que utiliza os apelidos online hastalamuerte, ArmCorp, zeta88, nobody0 e santamuerte. O The Gentlemen está ativo desde março de 2025, totalizando 478 vítimas até o momento, segundo dados do Ransomware.Live.

"Em julho de 2025, o Phantom Mantis se transformou no The Gentlemen, um programa de parceria independente que não depende mais de outros grupos de RaaS", afirmou a empresa suíça de cibersegurança. "Além disso, o LARVA-368 depende fortemente de inteligência artificial para o desenvolvimento e manutenção de ransomware e ferramentas, bem como para auxiliar em procedimentos de pós-exploração."

Quanto ao LARVA-368, estima-se que o ator de ameaça tenha sido membro do grupo de ransomware Embargo (também conhecido como Primeval Mantis) antes de lançar sua própria operação sob o nome ArmCorp. A operação foi subsequentemente renomeada para The Gentlemen quatro meses depois.

A identidade do indivíduo foi revelada pelo jornalista de cibersegurança Brian Krebs como sendo Alexander Andreevich Yapaev (Япаев Алексанр Андреевич), de 36 anos, da cidade russa de Izhevsk. A PRODAFT informou ao The Hacker News que suas descobertas correspondem à mesma persona com "alta confiança".

Conforme detalhado pelo Dark Atlas em agosto de 2025, a mudança coincidiu com uma disputa de pagamento entre o LARVA-368 e o Qilin, com o ator de ameaça acusando a operação RaaS de realizar um golpe de saída e fraudá-lo em US$ 48 mil.

"Embora o Phantom Mantis tenha sido um grupo afiliado muito ativo, com mais de 20 alvos registrados em seu painel de afiliados em menos de 30 dias, o administrador do grupo (LARVA-368) e o LARVA-367 (também conhecido como DevMan), ex-membro do Phantom Mantis, alegaram que o Pestilent Mantis estava enganando afiliados e que havia um suposto 'backdoor' nos chats de vítimas do painel de afiliados do Pestilent Mantis", observou a PRODAFT.

"Embora não pudéssemos confirmar essas alegações, há uma chance de que o LARVA-368 e o LARVA-367 tenham intencionalmente espalhado desinformação com o objetivo de recrutar afiliados do Pestilent Mantis para o Phantom Mantis, desacreditando o grupo."

O Phantom Mantis também foi observado pagando por contas Premium em fóruns underground para aumentar sua visibilidade e afastar a concorrência, com a comunicação do grupo e o suporte técnico sendo gerenciados por uma persona separada de língua russa chamada The Gentlemen Data.

Alguns dos outros aspectos relevantes do esquema de extorsão compilados de diversos relatórios são os seguintes:

  • Em uma análise do ransomware no final do ano passado, a equipe Cybereason da LevelBlue descreveu o The Gentlemen como uma "operação de ransomware altamente adaptável e em rápida evolução" que combina técnicas maduras de ransomware com recursos de RaaS, dupla extorsão, bloqueadores multiplataforma, propagação flexível e suporte a afiliados.
  • O grupo emergiu como um dos atores de ameaça mais ativos, sendo responsável por 10% da atividade de ransomware em abril de 2026. "O The Gentlemen segue uma cadeia focada em empresas, começando com o acesso inicial, por meio de serviços vulneráveis expostos à internet ou credenciais roubadas", disse o NCC Group afirmou. "A análise sugere que o The Gentlemen pode adaptar e mudar táticas durante um ataque, como manipular GPOs, comprometer contas privilegiadas e usar métodos personalizados para contornar proteções de endpoint."
  • Apenas cerca de 13% de suas vítimas estão sediadas nos EUA. A maioria das vítimas está concentrada na Tailândia, Reino Unido, Brasil, Alemanha e Índia.
  • O LARVA-368 usa contas do aplicativo IM do The Gentlemen para dar suporte aos afiliados em relação à criptografia e a qualquer questão relacionada à intrusão, como fornecer killers de EDR para contornar soluções de segurança por meio da técnica bring your own vulnerable driver (BYOVD).
  • Os serviços de suporte tanto para The Gentlemen quanto para The Gentlemen Data estão disponíveis por meio das plataformas de mensagens de código aberto Tox, SimpleX Chat e Ricochet Refresh.
  • Potenciais afiliados são obrigados a fornecer ao administrador pelo menos 1 GB de dados exfiltrados de uma vítima para obter acesso ao painel de afiliados, uma tática projetada para impedir que pesquisadores e autoridades policiais acessem a infraestrutura sob o pretexto de um afiliado. O painel de afiliados suporta gerenciamento de usuários, configuração de novos alvos e download de ransomware para um alvo específico.
  • O Phantom Mantis fornece cinco versões de ransomware projetadas para Windows, Linux, ESXi, Windows XP+ e Logical Volume Manager (LVM).
  • O grupo corteja afiliados com um modelo agressivo de compartilhamento de lucros: 90% para os afiliados e 10% para o operador.
  • O acesso inicial é obtido por meio de dispositivos de borda, como appliances de VPN, firewalls e outros sistemas expostos à internet, com foco específico em plataformas como Cisco e Fortinet FortiGate.
  • As cadeias de infecção envolvem o uso de utilitários de red team como NetExec, RelayKing, TaskHound, PrivHound e CertiHound para realizar descoberta de Active Directory, abuso de certificados, escalonamento de privilégios e descoberta de compartilhamentos de arquivos. Um conjunto separado de ferramentas, como EDRStartupHinder, gfreeze, glinker e DumpBrowserSecrets, é usado para evadir programas de segurança, enquanto o Velociraptor é empregado para comando e controle (C2).
  • Os ataques também tentam limpar os Logs de Eventos do Sistema, Aplicativos e Segurança do Windows, desabilitar o Microsoft Defender e adicionar exclusões de antivírus.
  • O ransomware utiliza um esquema criptográfico híbrido: troca de chaves X25519 combinada com criptografia simétrica XChaCha20.
  • A Microsoft, que acompanha o cluster sob o codinome Storm-2697, disse que o ransomware é escrito em Go e ofuscado com Garble para visar o ambiente Windows. "Quando habilitado com o argumento --spread, ele transforma o malware de um criptografador de host único em um verme autopropagável que tenta implantar seu criptografador em todos os sistemas alcançáveis na rede", disse a gigante da tecnologia afirmou. "Se o argumento --wipe for fornecido, o ransomware The Gentlemen executa uma rotina adicional pós-criptografia para eliminar artefatos recuperáveis do disco."
  • De acordo com a ZeroFox, a quadrilha de ransomware provavelmente opera uma operação de extorsão multicanal, combinando ataques de ransomware com divulgação por e-mail e táticas de pressão por telefone direcionadas às vítimas.
  • O grupo implementa um "ciclo de desenvolvimento altamente responsivo", aspecto exemplificado pelo lançamento de um patch no mesmo dia após um decryptor ter sido divulgado em abril de 2026.
  • O tempo médio de permanência de uma intrusão varia de duas a seis semanas do acesso inicial à criptografia, com o grupo focando particularmente em organizações que executam infraestrutura VMware.

No mês passado, um vazamento de um banco de dados interno do Rocket.Chat usado pelo grupo — compreendendo 3.366 mensagens entre novembro de 2025 e final de abril de 2026 — lançou mais luz sobre o funcionamento interno do grupo, incluindo seu uso de falhas de segurança conhecidas em software VMware Aria Operations, Fortinet, Cisco e Microsoft, pintando um quadro de uma empresa criminosa cujos membros têm uma clara divisão de papéis e responsabilidades.

"O grupo rastreia e avalia ativamente vulnerabilidades modernas, incluindo CVE-2024-55591, CVE-2025-32433 e CVE-2025-33073, e as combina com caminhos baseados em técnicas como abuso de backup e controladoras de gerenciamento e fluxos de trabalho de relay NTLM, dando a eles um pipeline de exploração flexível", disse a Check Point afirmou.

Isso não é tudo. Em março de 2026, a Hunt.io disse ter descoberto um diretório aberto hospedado em "176.120.22[.]127:80" no provedor de hospedagem à prova de balas russo Proton66, que expôs 126 arquivos contendo um kit de ferramentas completo de operador de ransomware atribuído a um afiliado do RaaS The Gentlemen.

Isso incluía ferramentas para reconhecimento, escalonamento de privilégios, evasão de defesa, roubo de credenciais, movimento lateral, persistência e preparação pré-criptografia, abrangendo essencialmente todas as fases do ciclo de vida da intrusão.

"O LARVA-368 é um ator de ameaça especializado em atividades relacionadas a extorsão e está ativo desde pelo menos 2020", disse a PRODAFT. "A expertise adquirida por meio de colaborações anteriores com diversos grupos de RaaS forneceu a base técnica necessária para estabelecer o The Gentlemen RaaS."

Article The Hacker News thehackernews.com
FONTE

The Hacker News

Conteúdos relacionados

WinRAR Flaw Exploited by Russia-Aligned Groups to Deploy Stealers in Ukraine Notícia Bugs Ravie Lakshmanan Falha no WinRAR é explorada por grupos ligados à Rússia para implantar stealers na Ucrânia Duas campanhas de ciberataques alinhadas à Rússia continuam explorando uma falha de segurança no WinRAR para atingir o... 09/06/2026 0 0
Researchers Build Self-Replicating AI Worm That Operates Entirely on Local, Open-Weight Models Notícia Virus & Malware Swati Khandelwal Pesquisadores criam verme de IA autorreplicante que opera inteiramente em modelos locais de pesos abertos Pesquisadores da Universidade de Toronto construíram e testaram um verme de computador baseado em inteligência artific... 09/06/2026 0 0
Android Spyware Asin Targets Arabic Users via Fake News, PDF and War Map Apps Notícia Virus & Malware Ravie Lakshmanan Spyware Asin para Android mira usuários árabes com apps falsos de notícias, PDF e mapa de guerra Usuários falantes de árabe se tornaram alvo de um novo spyware para Android chamado Asin, segundo a empresa de ciberse... 05/06/2026 0 0
Notícia Virus & Malware IronWorm e nova variante do worm Miasma atingem o npm em ataques à cadeia de suprimentos Múltiplos ataques à cadeia de suprimentos de software atingiram o ecossistema npm nesta semana,... Ravie Lakshmanan 05/06/2026 0 0
Notícia Virus & Malware Vírus disfarçado de mensagem de voz se espalha no WhatsApp Se você receber uma mensagem do WhatsApp dizendo “Você tem uma nova mensagem de voz”, “1 Nova Me... Redação 04/10/2013 0 0
Notícia Virus & Malware Novo vírus para Linux sugere mais perigo no futuro do sistema Usuários de Linux acostumados a um estilo de vida relativamente livre de malware devem ficar mai... Redação 13/08/2013 0 0