Quem Está Por Trás do Grupo de Ransomware 'The Gentlemen'?
Uma investigação aprofundada revela pistas sobre a identidade do administrador do grupo de ransomware 'The Gentlemen', que se tornou o segundo mais ativo globalmente. A análise de fóruns de ciberdelinquência e dados de inteligência sugere um nome e um possível perfil profissional.
MundiX News·11 de junho de 2026·6 min de leitura·👁 8 views
Um grupo de cibercrime conhecido como 'The Gentlemen' emergiu como a segunda gangue de ransomware mais ativa por contagem de vítimas, atraindo rapidamente um grupo talentoso de hackers através de uma estratégia agressiva de recrutamento que promete aos afiliados 90% de qualquer resgate pago pelas vítimas. Esta análise examina pistas que apontam para a identidade real do administrador do grupo de ransomware 'The Gentlemen'.
Especialistas da empresa de segurança Check Point Software têm acompanhado de perto os exploits do 'The Gentlemen', uma oferta de 'ransomware-as-a-service' (RaaS) que paga generosamente aos afiliados para ajudar a espalhar o malware do grupo. "Uma divisão de receita de 90/10 para afiliados – em comparação com o padrão da indústria de 80/20 – está acelerando o crescimento do grupo ao atrair operadores experientes de programas concorrentes", escreveram os pesquisadores em abril. A Check Point descobriu que 'The Gentlemen' é o segundo grupo de ransomware mais ativo por contagem de vítimas até o momento neste ano, reivindicando pelo menos 332 vítimas publicadas desde a criação do grupo em meados de 2025 e mais de 240 apenas em 2026. De acordo com a Check Point, o grupo tem como alvo dispositivos expostos à Internet (VPNs, firewalls) como ponto de entrada e, uma vez dentro, age rapidamente para criptografar redes inteiras em horas.
A Check Point afirma que o administrador e principal operador do grupo de ransomware usa o apelido 'Zeta88' nos fóruns de ciberdelinquência em língua russa, e que este indivíduo era anteriormente conhecido pelo pseudônimo 'Hastalamuerte'. A Check Point observou que uma violação da infraestrutura de back-end do grupo deixou claro que 'Hastalamuerte/Zeta88' é a pessoa que monta o locker e o painel RaaS, gerencia pagamentos e é essencialmente o administrador de todo o programa, recebendo 10% de todos os resgates.
A empresa de inteligência cibernética Intel 471 mostra que o usuário 'Hastalamuerte' é uma pessoa que fala russo e inglês e que se registrou em quase uma dúzia de fóruns de ciberdelinquência entre 2019 e o presente, incluindo Exploit, Breachforums, Ramp_V2, BHF, Raidforums e Nulled. A Intel 471 revela que 'Hastalamuerte' se registrou no Breachforums em janeiro de 2025 a partir de um endereço de Internet em Izhevsk, a capital da República Udmurt da Rússia. Da mesma forma, o usuário 'Zeta88' se inscreveu no fórum de ciberdelinquência em língua inglesa Breached em agosto de 2022 a partir de um endereço de Internet diferente em Izhevsk. A Intel 471 descobre que 'Hastalamuerte' se registrou no Raidforums em 2020 usando o endereço de e-mail hastalamuerte1488@protonmail.com (1488 é uma combinação comum de dois símbolos numéricos associados à supremacia branca). Uma consulta a este endereço no serviço de inteligência de código aberto Epieos mostra que ele está conectado a uma conta na Apple e a um número de telefone terminado em 04. A Epieos diz que esse endereço Protonmail também está vinculado a uma conta GitHub sob o nome de usuário 'SantaMuerte'. Essa conta está marcada como privada, mas um histórico da atividade deste usuário mostra que ele está observando e desenvolvendo uma série de ferramentas de malware e exploits.
Em abril de 2020, 'Hastalamuerte' disse no fórum de crime Nulled que poderia ser contatado no nome do mensageiro instantâneo Telegram @hastalamuerte18, e a empresa de inteligência de ameaças Flashpoint descobre que este nome de usuário está atribuído ao ID exclusivo do Telegram número 30907522. O serviço de rastreamento de violações Constella Intelligence relata que o ID do Telegram de 'Hastalamuerte' está conectado a outro nome de usuário – "bu4vs" – e ao número de telefone russo 79127650004. Ao rastrear este número de telefone na Constella, obtêm-se vários registros de bancos de dados do governo russo hackeados, mostrando que ele é atribuído a Alexander Andreevich Yapaev, um homem de 36 anos de Izhevsk. A Constella revela que o número de telefone foi usado para criar uma conta na plataforma de mídia social russa Pikabu sob o nome "4apai18", e mostra que o Sr. Yapaev se inscreveu em vários sites usando o sobrenome comum Ivanov, ou "Chapaev" (o numeral 4 é frequentemente usado como uma abreviação para o som "ch" em russo).
Uma pesquisa na Intel 471 por membros de fóruns de ciberdelinquência com o apelido SantaMeurte desenterra uma conta com o mesmo nome criada em 2020 no fórum de hacking russo Codeby. A Intel 471 mostra que este usuário se registrou originalmente no Codeby com o apelido nada sutil "Alexandr 4apaev". A Constella descobre que o Sr. Yapaev usou regularmente o endereço de e-mail bu4vs@mail.ru. Enquanto isso, a Epieos mostra que este endereço está conectado a uma conta do LinkedIn para Alexander Yapaev, que se lista como chefe de marketing B2B na empresa Uralenergo Udmurtia, um dos maiores fornecedores de produtos eletrotécnicos e de iluminação da Rússia. O Sr. Yapaev não respondeu a múltiplos pedidos de comentários.
Quase toda vez que publicamos uma dessas histórias 'Breadcrumbs', os leitores ficam curiosos para saber por que parece que tantos cibercriminosos da Rússia aparentemente fazem pouco para esconder suas identidades na vida real. A verdade é que – russo ou não – a maioria não começou exatamente como arqui-criminosos, mas sim foi gradualmente atraída para a cena ao longo de vários anos, à medida que suas habilidades se expandiam e se aprimoravam. Outra dinâmica importante é que o governo russo geralmente coopta ou ignora a atividade cibercriminal dentro de suas fronteiras, desde que os hackers não roubem ou ataquem empresas e cidadãos russos. Como resultado, cibercriminosos bem-sucedidos na Rússia geralmente são protegidos de processos e prisões por agências de aplicação da lei estrangeiras, desde que ocasionalmente paguem as pessoas certas e não viajem para o exterior. E cibercriminosos que pretendem aderir estritamente a essas regras não escritas podem (pelo menos inicialmente) estar menos preocupados em cobrir seus rastros online. Mas a explicação mais simples é que cibercriminosos de todas as nacionalidades tendem a cometer uma série de erros básicos de segurança operacional no início de suas carreiras, quando são menos experientes e têm muito menos a perder com sua negligência. Uma revisão das postagens iniciais de 'Hastalamuerte' nos fóruns de crime (por volta de 2019-2020) mostra um hacker relativamente pouco sofisticado e de baixa habilidade, ainda tentando aprender o básico e ganhar uma reputação positiva nessas comunidades. Por exemplo, em junho de 2020, a conta do Telegram de 'Hastalamuerte' ingressou em um programa de treinamento de vários meses (@pntst) para aprender a usar ferramentas populares de teste de penetração, e suas postagens francas para este campo de treinamento de hackers mostram 'Hastalamuerte' lutando para usar essas ferramentas de forma eficaz.
Um grupo de cibercrime conhecido como 'The Gentlemen' emergiu como a segunda gangue de ransomware mais ativa por contagem de vítimas, atraindo rapidamente um grupo talentoso de hackers através de uma estratégia agressiva de recrutamento que promete aos afiliados 90% de qualquer resgate pago pelas vítimas. Esta análise examina pistas que apontam para a identidade real do administrador do grupo de ransomware 'The Gentlemen'.
Especialistas da empresa de segurança Check Point Software têm acompanhado de perto os exploits do 'The Gentlemen', uma oferta de 'ransomware-as-a-service' (RaaS) que paga generosamente aos afiliados para ajudar a espalhar o malware do grupo. "Uma divisão de receita de 90/10 para afiliados – em comparação com o padrão da indústria de 80/20 – está acelerando o crescimento do grupo ao atrair operadores experientes de programas concorrentes", escreveram os pesquisadores em abril. A Check Point descobriu que 'The Gentlemen' é o segundo grupo de ransomware mais ativo por contagem de vítimas até o momento neste ano, reivindicando pelo menos 332 vítimas publicadas desde a criação do grupo em meados de 2025 e mais de 240 apenas em 2026. De acordo com a Check Point, o grupo tem como alvo dispositivos expostos à Internet (VPNs, firewalls) como ponto de entrada e, uma vez dentro, age rapidamente para criptografar redes inteiras em horas.
A Check Point afirma que o administrador e principal operador do grupo de ransomware usa o apelido 'Zeta88' nos fóruns de ciberdelinquência em língua russa, e que este indivíduo era anteriormente conhecido pelo pseudônimo 'Hastalamuerte'. A Check Point observou que uma violação da infraestrutura de back-end do grupo deixou claro que 'Hastalamuerte/Zeta88' é a pessoa que monta o locker e o painel RaaS, gerencia pagamentos e é essencialmente o administrador de todo o programa, recebendo 10% de todos os resgates.
A empresa de inteligência cibernética Intel 471 mostra que o usuário 'Hastalamuerte' é uma pessoa que fala russo e inglês e que se registrou em quase uma dúzia de fóruns de ciberdelinquência entre 2019 e o presente, incluindo Exploit, Breachforums, Ramp_V2, BHF, Raidforums e Nulled. A Intel 471 revela que 'Hastalamuerte' se registrou no Breachforums em janeiro de 2025 a partir de um endereço de Internet em Izhevsk, a capital da República Udmurt da Rússia. Da mesma forma, o usuário 'Zeta88' se inscreveu no fórum de ciberdelinquência em língua inglesa Breached em agosto de 2022 a partir de um endereço de Internet diferente em Izhevsk. A Intel 471 descobre que 'Hastalamuerte' se registrou no Raidforums em 2020 usando o endereço de e-mail hastalamuerte1488@protonmail.com (1488 é uma combinação comum de dois símbolos numéricos associados à supremacia branca). Uma consulta a este endereço no serviço de inteligência de código aberto Epieos mostra que ele está conectado a uma conta na Apple e a um número de telefone terminado em 04. A Epieos diz que esse endereço Protonmail também está vinculado a uma conta GitHub sob o nome de usuário 'SantaMuerte'. Essa conta está marcada como privada, mas um histórico da atividade deste usuário mostra que ele está observando e desenvolvendo uma série de ferramentas de malware e exploits.
Em abril de 2020, 'Hastalamuerte' disse no fórum de crime Nulled que poderia ser contatado no nome do mensageiro instantâneo Telegram @hastalamuerte18, e a empresa de inteligência de ameaças Flashpoint descobre que este nome de usuário está atribuído ao ID exclusivo do Telegram número 30907522. O serviço de rastreamento de violações Constella Intelligence relata que o ID do Telegram de 'Hastalamuerte' está conectado a outro nome de usuário – "bu4vs" – e ao número de telefone russo 79127650004. Ao rastrear este número de telefone na Constella, obtêm-se vários registros de bancos de dados do governo russo hackeados, mostrando que ele é atribuído a Alexander Andreevich Yapaev, um homem de 36 anos de Izhevsk. A Constella revela que o número de telefone foi usado para criar uma conta na plataforma de mídia social russa Pikabu sob o nome "4apai18", e mostra que o Sr. Yapaev se inscreveu em vários sites usando o sobrenome comum Ivanov, ou "Chapaev" (o numeral 4 é frequentemente usado como uma abreviação para o som "ch" em russo).
Uma pesquisa na Intel 471 por membros de fóruns de ciberdelinquência com o apelido SantaMeurte desenterra uma conta com o mesmo nome criada em 2020 no fórum de hacking russo Codeby. A Intel 471 mostra que este usuário se registrou originalmente no Codeby com o apelido nada sutil "Alexandr 4apaev". A Constella descobre que o Sr. Yapaev usou regularmente o endereço de e-mail bu4vs@mail.ru. Enquanto isso, a Epieos mostra que este endereço está conectado a uma conta do LinkedIn para Alexander Yapaev, que se lista como chefe de marketing B2B na empresa Uralenergo Udmurtia, um dos maiores fornecedores de produtos eletrotécnicos e de iluminação da Rússia. O Sr. Yapaev não respondeu a múltiplos pedidos de comentários.
Quase toda vez que publicamos uma dessas histórias 'Breadcrumbs', os leitores ficam curiosos para saber por que parece que tantos cibercriminosos da Rússia aparentemente fazem pouco para esconder suas identidades na vida real. A verdade é que – russo ou não – a maioria não começou exatamente como arqui-criminosos, mas sim foi gradualmente atraída para a cena ao longo de vários anos, à medida que suas habilidades se expandiam e se aprimoravam. Outra dinâmica importante é que o governo russo geralmente coopta ou ignora a atividade cibercriminal dentro de suas fronteiras, desde que os hackers não roubem ou ataquem empresas e cidadãos russos. Como resultado, cibercriminosos bem-sucedidos na Rússia geralmente são protegidos de processos e prisões por agências de aplicação da lei estrangeiras, desde que ocasionalmente paguem as pessoas certas e não viajem para o exterior. E cibercriminosos que pretendem aderir estritamente a essas regras não escritas podem (pelo menos inicialmente) estar menos preocupados em cobrir seus rastros online. Mas a explicação mais simples é que cibercriminosos de todas as nacionalidades tendem a cometer uma série de erros básicos de segurança operacional no início de suas carreiras, quando são menos experientes e têm muito menos a perder com sua negligência. Uma revisão das postagens iniciais de 'Hastalamuerte' nos fóruns de crime (por volta de 2019-2020) mostra um hacker relativamente pouco sofisticado e de baixa habilidade, ainda tentando aprender o básico e ganhar uma reputação positiva nessas comunidades. Por exemplo, em junho de 2020, a conta do Telegram de 'Hastalamuerte' ingressou em um programa de treinamento de vários meses (@pntst) para aprender a usar ferramentas populares de teste de penetração, e suas postagens francas para este campo de treinamento de hackers mostram 'Hastalamuerte' lutando para usar essas ferramentas de forma eficaz.
