Grupo de Ransomware Gentlemen Atualiza seu Arsenal com Novo Backdoor e Criptografador para Windows
Especialistas da Kaspersky detalham as táticas da gangue Gentlemen, que opera sob o modelo Ransomware-as-a-Service (RaaS). A análise revela um novo backdoor em Go e um criptografador para Windows escrito em C, indicando testes e aprimoramentos contínuos nas operações do grupo.
MundiX News·04 de julho de 2026·6 min de leitura·👁 1 views
Especialistas da Kaspersky analisaram ataques recentes do grupo Gentlemen e descobriram um backdoor em Go inédito no arsenal dos hackers, além de um novo criptografador para Windows escrito em C. Pelas funcionalidades incompletas, os criminosos parecem estar testando o malware para Windows em um número limitado de vítimas.
Os pesquisadores afirmam que o grupo de hackers Gentlemen opera sob o modelo Ransomware-as-a-Service (RaaS) e, supostamente, surgiu em meados de 2025, mas a atividade dos criminosos só começou a crescer no início de 2026. No primeiro semestre, o grupo se posicionou entre os dez maiores operadores de ransomware, com base no número de vítimas listadas em sites de vazamento de dados.
Tipicamente, os alvos do Gentlemen são grandes empresas e infraestruturas críticas em todo o mundo. Entre as vítimas do grupo estão empresas de manufatura e construção, companhias de TI, organizações financeiras e médicas, além de operadoras logísticas. A maioria dos ataques foi registrada no Brasil, China, Indonésia, Tailândia e Taiwan.
Para obter acesso inicial, os hackers exploram serviços de internet vulneráveis, gateways VPN e firewalls, além de utilizarem credenciais roubadas, fracas ou padrão. Os pesquisadores admitem que o grupo pode colaborar com brokers de acesso para isso, pois em alguns incidentes a comprometimento ocorreu muito antes do lançamento do criptografador e com métodos atípicos para o Gentlemen.
Após a invasão da rede da vítima, os hackers a estudam meticulosamente usando ferramentas como SharpADWS, NetScan, Advanced IP Scanner e a utilidade nativa netsh. Esta última é empregada para interceptar tráfego que pode conter dados não criptografados e senhas. Para movimentação lateral, o grupo utiliza PsExec e políticas de grupo: o criptografador é copiado para o diretório NETLOGON e, em seguida, executado simultaneamente em vários computadores do domínio.
Um dia antes de criptografar os arquivos, os atacantes implantam seu próprio backdoor nas vítimas. Ele coleta dados como nome do host, domínio, UUID e endereços IP locais, estabelece uma conexão persistente com o servidor de comando e controle (C2), executa comandos dos operadores e também levanta um proxy SOCKS. Graças a isso, os atacantes podem continuar a reconhecimento e a movimentação pela rede comprometida.
De acordo com os especialistas, o principal criptografador do grupo continua sendo o malware multiplataforma em Go, que utiliza Curve25519 e XChaCha20. Para se proteger contra análise automática, o binário exige uma senha. Antes da criptografia, o malware pode parar máquinas virtuais Hyper-V (para liberar arquivos de disco virtual e, em seguida, criptografá-los), encerrar processos e serviços que possam bloquear o acesso a arquivos, e então remover cópias de sombra e logs de eventos.
Além disso, antes de executar o criptografador, os criminosos tentam desativar soluções de segurança usando a técnica BYOVD (Bring Your Own Vulnerable Driver), empregando drivers propositalmente vulneráveis, além de modificar o registro e usar comandos do PowerShell.
O novo variante do malware para Windows, escrito em C, foi observado apenas em alguns ataques até o momento. Os pesquisadores escrevem que alguns de seus parâmetros ainda não estão totalmente implementados, e as listas de exclusão são visivelmente mais curtas do que na versão Go. Para criptografia, ele usa AES-256-GCM e RSA, e em vez de Tox, os criminosos oferecem às vítimas contato por e-mail. Os pesquisadores acreditam que os membros do Gentlemen ainda estão testando o novo build em redes reais, mas com o tempo ele pode se tornar uma ferramenta mais estável e escalável.
"Apesar de o grupo Gentlemen ser relativamente novo, ele está rapidamente construindo uma reputação entre os criminosos, atraindo parceiros e realizando ataques de alto perfil. O teste de novas variantes de ransomware escritas em C indica que os atacantes estão aprimorando ativamente suas capacidades. No futuro próximo, isso pode levar ao surgimento de cadeias de ataque mais estáveis e escaláveis", comenta Sergey Lozhkin, chefe do Kaspersky GReAT para Ásia, África e Oriente Médio.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Kaspersky analisaram ataques recentes do grupo Gentlemen e descobriram um backdoor em Go inédito no arsenal dos hackers, além de um novo criptografador para Windows escrito em C. Pelas funcionalidades incompletas, os criminosos parecem estar testando o malware para Windows em um número limitado de vítimas.
Os pesquisadores afirmam que o grupo de hackers Gentlemen opera sob o modelo Ransomware-as-a-Service (RaaS) e, supostamente, surgiu em meados de 2025, mas a atividade dos criminosos só começou a crescer no início de 2026. No primeiro semestre, o grupo se posicionou entre os dez maiores operadores de ransomware, com base no número de vítimas listadas em sites de vazamento de dados.
Tipicamente, os alvos do Gentlemen são grandes empresas e infraestruturas críticas em todo o mundo. Entre as vítimas do grupo estão empresas de manufatura e construção, companhias de TI, organizações financeiras e médicas, além de operadoras logísticas. A maioria dos ataques foi registrada no Brasil, China, Indonésia, Tailândia e Taiwan.
Para obter acesso inicial, os hackers exploram serviços de internet vulneráveis, gateways VPN e firewalls, além de utilizarem credenciais roubadas, fracas ou padrão. Os pesquisadores admitem que o grupo pode colaborar com brokers de acesso para isso, pois em alguns incidentes a comprometimento ocorreu muito antes do lançamento do criptografador e com métodos atípicos para o Gentlemen.
Após a invasão da rede da vítima, os hackers a estudam meticulosamente usando ferramentas como SharpADWS, NetScan, Advanced IP Scanner e a utilidade nativa netsh. Esta última é empregada para interceptar tráfego que pode conter dados não criptografados e senhas. Para movimentação lateral, o grupo utiliza PsExec e políticas de grupo: o criptografador é copiado para o diretório NETLOGON e, em seguida, executado simultaneamente em vários computadores do domínio.
Um dia antes de criptografar os arquivos, os atacantes implantam seu próprio backdoor nas vítimas. Ele coleta dados como nome do host, domínio, UUID e endereços IP locais, estabelece uma conexão persistente com o servidor de comando e controle (C2), executa comandos dos operadores e também levanta um proxy SOCKS. Graças a isso, os atacantes podem continuar a reconhecimento e a movimentação pela rede comprometida.
De acordo com os especialistas, o principal criptografador do grupo continua sendo o malware multiplataforma em Go, que utiliza Curve25519 e XChaCha20. Para se proteger contra análise automática, o binário exige uma senha. Antes da criptografia, o malware pode parar máquinas virtuais Hyper-V (para liberar arquivos de disco virtual e, em seguida, criptografá-los), encerrar processos e serviços que possam bloquear o acesso a arquivos, e então remover cópias de sombra e logs de eventos.
Além disso, antes de executar o criptografador, os criminosos tentam desativar soluções de segurança usando a técnica BYOVD (Bring Your Own Vulnerable Driver), empregando drivers propositalmente vulneráveis, além de modificar o registro e usar comandos do PowerShell.
O novo variante do malware para Windows, escrito em C, foi observado apenas em alguns ataques até o momento. Os pesquisadores escrevem que alguns de seus parâmetros ainda não estão totalmente implementados, e as listas de exclusão são visivelmente mais curtas do que na versão Go. Para criptografia, ele usa AES-256-GCM e RSA, e em vez de Tox, os criminosos oferecem às vítimas contato por e-mail. Os pesquisadores acreditam que os membros do Gentlemen ainda estão testando o novo build em redes reais, mas com o tempo ele pode se tornar uma ferramenta mais estável e escalável.
"Apesar de o grupo Gentlemen ser relativamente novo, ele está rapidamente construindo uma reputação entre os criminosos, atraindo parceiros e realizando ataques de alto perfil. O teste de novas variantes de ransomware escritas em C indica que os atacantes estão aprimorando ativamente suas capacidades. No futuro próximo, isso pode levar ao surgimento de cadeias de ataque mais estáveis e escaláveis", comenta Sergey Lozhkin, chefe do Kaspersky GReAT para Ásia, África e Oriente Médio.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.