Quem Está Por Trás do Grupo de Ransomware 'The Gentlemen'?
Investigação aponta para Zeta88, também conhecido como Hastalamuerte, como o administrador do grupo de ransomware 'The Gentlemen', que se destaca pela agressiva estratégia de recrutamento e divisão de lucros. O artigo detalha as pistas que levam à identificação deste indivíduo.
MundiX News·25 de junho de 2026·7 min de leitura·👁 1 views
O grupo de cibercriminosos conhecido como The Gentlemen emergiu como o segundo grupo de ransomware mais ativo em termos de vítimas, atraindo hackers talentosos através de uma estratégia de recrutamento agressiva que promete aos parceiros 90% de qualquer resgate pago pelas vítimas. Neste artigo, analisaremos as pistas que apontam para a identidade real do administrador do grupo de ransomware The Gentlemen.
Especialistas da empresa de segurança da informação Check Point Software têm monitorado de perto as atividades do The Gentlemen, que opera sob o modelo de 'ransomware-as-a-service' (RaaS). Este modelo remunera generosamente os parceiros pela ajuda na disseminação do malware do grupo. "A divisão de receita entre parceiros na proporção de 90/10, em comparação com o padrão da indústria de 80/20, acelera o crescimento do grupo, atraindo operadores experientes de programas concorrentes", escreveram os pesquisadores em abril.
A Check Point estabeleceu que o The Gentlemen é o segundo grupo de ransomware mais ativo em número de vítimas este ano, com pelo menos 332 vítimas publicadas desde a criação do grupo em meados de 2025, e mais de 240 apenas em 2026. De acordo com a Check Point, o grupo tem como alvo dispositivos acessíveis pela internet (VPNs, firewalls), utilizando-os como ponto de entrada. Uma vez dentro, eles rapidamente progridem para o criptografar de redes inteiras em questão de horas.
A Check Point relata que o administrador do grupo utiliza o pseudônimo Zeta88 em fóruns de cibercrime de língua russa e que, anteriormente, essa pessoa era conhecida pelo apelido Hastalamuerte. A Check Point observou que a invasão da infraestrutura do grupo esclareceu que Hastalamuerte/Zeta88 é a pessoa responsável pelo locker, pelo painel RaaS, pela gestão de pagamentos e, essencialmente, pelo administrador de todo o programa, recebendo 10% de todos os resgates.
QUEM É HASTALAMUERTE?
A empresa de inteligência cibernética Intel 471 informou que o usuário Hastalamuerte é uma pessoa que fala russo e inglês e que se registrou em quase uma dúzia de fóruns de cibercrime entre 2019 e o presente, incluindo Exploit, Breachforums, Ramp_V2, BHF, Raidforums e Nulled.
Hastalamuerte se registrou no Breachforums em janeiro de 2025 a partir de um endereço IP em Izhevsk, Udmúrtia. Da mesma forma, o usuário Zeta88 se registrou no fórum de cibercrime de língua inglesa Breached em agosto de 2022 a partir de um endereço IP diferente em Izhevsk.
A Intel 471 descobriu que Hastalamuerte se registrou no Raidforums em 2020, usando o endereço de e-mail hastalamuerte1488@protonmail.com (1488 é uma combinação comum de dois símbolos numéricos associados à supremacia branca). Uma pesquisa por este endereço no serviço de inteligência de fontes abertas Epieos mostra que ele está associado a uma conta Apple e a um número de telefone que termina em 04.
O Epieos relata que este endereço Protonmail também está associado a uma conta GitHub sob o nome de usuário SantaMuerte. Esta conta está marcada como privada, mas o histórico de atividades deste usuário mostra que ele rastreia e desenvolve uma série de ferramentas maliciosas e exploits.
Em abril de 2020, Hastalamuerte postou no fórum Nulled que ele poderia ser contatado no mensageiro Telegram pelo apelido @hastalamuerte18. Este apelido tem um ID de Telegram único de 30907522.
O serviço de rastreamento de vazamentos Constella Intelligence relata que o ID de Telegram do usuário Hastalamuerte está associado a outro nome de usuário – "bu4vs" – com um número de telefone russo 79127650004. A análise deste número de telefone em vazamentos mostrou que ele é atribuído a um certo Alexander Andreevich Yapaev, um homem de 36 anos de Izhevsk.
Este número de telefone foi usado para criar uma conta no Pikabu sob o nome "4apai18", bem como em vários sites sob o sobrenome comum Ivanov ou "Chapaev" (o número 4 em russo é frequentemente usado para denotar o som "ch").
A pesquisa entre os participantes de fóruns de cibercrime com o apelido SantaMuerte revelou uma conta com o mesmo nome, criada em 2020 no fórum de hackers russo Codeby. Este usuário se registrou inicialmente no Codeby sob outro apelido – Alexandr 4apaev.
Yapaev usou regularmente o endereço de e-mail bu4vs@mail.ru. Este endereço está associado à conta LinkedIn de Alexander Yapaev, que se apresenta como Gerente de Marketing B2B na Uralenergo Udmurtiya, um dos maiores fornecedores russos de produtos elétricos e de iluminação.
Yapaev não respondeu a várias solicitações e comentários.
Quase toda vez que publicamos uma dessas histórias, os leitores ficam curiosos para saber por que a impressão é que tantos cibercriminosos da Rússia, aparentemente, fazem pouco para ocultar suas verdadeiras identidades. A verdade é que – sejam russos ou não – a maioria deles não tem a intenção de se tornar criminosos inveterados, mas em vez disso, gradualmente se envolvem nessa história ao longo de vários anos, à medida que suas habilidades se expandem e se aprimoram.
Outro padrão importante é que o governo russo tende a cooperar ou ignorar a atividade cibercriminal dentro de suas fronteiras, desde que os hackers não roubem de empresas e cidadãos russos ou os ataquem. Como resultado, cibercriminosos bem-sucedidos na Rússia geralmente estão protegidos de processos e prisões por agências de aplicação da lei estrangeiras, desde que paguem às pessoas certas de vez em quando e não viajem para o exterior. E cibercriminosos que pretendem aderir estritamente a essas regras não escritas podem (pelo menos no início) se preocupar menos em apagar seus rastros online.
Mas a explicação mais simples é que cibercriminosos de todas as nacionalidades tendem a cometer uma série de erros básicos de segurança operacional no início de suas carreiras, quando são menos experientes e têm muito menos a perder com sua imprudência. Uma análise das primeiras postagens de Hastalamuerte em fóruns criminosos (aproximadamente 2019-2020) mostra um hacker relativamente inexperiente e pouco qualificado que ainda está tentando se estabelecer e ganhar uma reputação positiva nessas comunidades.
Por exemplo, em junho de 2020, a conta do Telegram de Hastalamuerte ingressou em um programa de treinamento de vários meses (@pntst) para aprender a usar ferramentas populares de teste de penetração. As postagens mostram que Hastalamuerte teve dificuldades com essas ferramentas.
A equipe de pesquisa de ameaças PRODAFT publicou um relatório detalhado sobre a história e as atividades atuais do The Gentlemen. A PRODAFT relatou que suas descobertas correspondem à mesma persona com "alto grau de confiança" e descobriu que o administrador (Zeta88/Hastalamuerte) fornece acesso inicial diretamente aos afiliados, principalmente credenciais Fortinet SSL-VPN obtidas por meio de ataques de força bruta (brute-force) ou retiradas do próprio banco de dados de vazamentos do grupo. Eles também descobriram que o administrador usa IA para desenvolver e manter o programa de ransomware e suas ferramentas associadas, bem como para auxiliar na fase de pós-exploração.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O grupo de cibercriminosos conhecido como The Gentlemen emergiu como o segundo grupo de ransomware mais ativo em termos de vítimas, atraindo hackers talentosos através de uma estratégia de recrutamento agressiva que promete aos parceiros 90% de qualquer resgate pago pelas vítimas. Neste artigo, analisaremos as pistas que apontam para a identidade real do administrador do grupo de ransomware The Gentlemen.
Especialistas da empresa de segurança da informação Check Point Software têm monitorado de perto as atividades do The Gentlemen, que opera sob o modelo de 'ransomware-as-a-service' (RaaS). Este modelo remunera generosamente os parceiros pela ajuda na disseminação do malware do grupo. "A divisão de receita entre parceiros na proporção de 90/10, em comparação com o padrão da indústria de 80/20, acelera o crescimento do grupo, atraindo operadores experientes de programas concorrentes", escreveram os pesquisadores em abril.
A Check Point estabeleceu que o The Gentlemen é o segundo grupo de ransomware mais ativo em número de vítimas este ano, com pelo menos 332 vítimas publicadas desde a criação do grupo em meados de 2025, e mais de 240 apenas em 2026. De acordo com a Check Point, o grupo tem como alvo dispositivos acessíveis pela internet (VPNs, firewalls), utilizando-os como ponto de entrada. Uma vez dentro, eles rapidamente progridem para o criptografar de redes inteiras em questão de horas.
A Check Point relata que o administrador do grupo utiliza o pseudônimo Zeta88 em fóruns de cibercrime de língua russa e que, anteriormente, essa pessoa era conhecida pelo apelido Hastalamuerte. A Check Point observou que a invasão da infraestrutura do grupo esclareceu que Hastalamuerte/Zeta88 é a pessoa responsável pelo locker, pelo painel RaaS, pela gestão de pagamentos e, essencialmente, pelo administrador de todo o programa, recebendo 10% de todos os resgates.
QUEM É HASTALAMUERTE?
A empresa de inteligência cibernética Intel 471 informou que o usuário Hastalamuerte é uma pessoa que fala russo e inglês e que se registrou em quase uma dúzia de fóruns de cibercrime entre 2019 e o presente, incluindo Exploit, Breachforums, Ramp_V2, BHF, Raidforums e Nulled.
Hastalamuerte se registrou no Breachforums em janeiro de 2025 a partir de um endereço IP em Izhevsk, Udmúrtia. Da mesma forma, o usuário Zeta88 se registrou no fórum de cibercrime de língua inglesa Breached em agosto de 2022 a partir de um endereço IP diferente em Izhevsk.
A Intel 471 descobriu que Hastalamuerte se registrou no Raidforums em 2020, usando o endereço de e-mail hastalamuerte1488@protonmail.com (1488 é uma combinação comum de dois símbolos numéricos associados à supremacia branca). Uma pesquisa por este endereço no serviço de inteligência de fontes abertas Epieos mostra que ele está associado a uma conta Apple e a um número de telefone que termina em 04.
O Epieos relata que este endereço Protonmail também está associado a uma conta GitHub sob o nome de usuário SantaMuerte. Esta conta está marcada como privada, mas o histórico de atividades deste usuário mostra que ele rastreia e desenvolve uma série de ferramentas maliciosas e exploits.
Em abril de 2020, Hastalamuerte postou no fórum Nulled que ele poderia ser contatado no mensageiro Telegram pelo apelido @hastalamuerte18. Este apelido tem um ID de Telegram único de 30907522.
O serviço de rastreamento de vazamentos Constella Intelligence relata que o ID de Telegram do usuário Hastalamuerte está associado a outro nome de usuário – "bu4vs" – com um número de telefone russo 79127650004. A análise deste número de telefone em vazamentos mostrou que ele é atribuído a um certo Alexander Andreevich Yapaev, um homem de 36 anos de Izhevsk.
Este número de telefone foi usado para criar uma conta no Pikabu sob o nome "4apai18", bem como em vários sites sob o sobrenome comum Ivanov ou "Chapaev" (o número 4 em russo é frequentemente usado para denotar o som "ch").
A pesquisa entre os participantes de fóruns de cibercrime com o apelido SantaMuerte revelou uma conta com o mesmo nome, criada em 2020 no fórum de hackers russo Codeby. Este usuário se registrou inicialmente no Codeby sob outro apelido – Alexandr 4apaev.
Yapaev usou regularmente o endereço de e-mail bu4vs@mail.ru. Este endereço está associado à conta LinkedIn de Alexander Yapaev, que se apresenta como Gerente de Marketing B2B na Uralenergo Udmurtiya, um dos maiores fornecedores russos de produtos elétricos e de iluminação.
Yapaev não respondeu a várias solicitações e comentários.
Quase toda vez que publicamos uma dessas histórias, os leitores ficam curiosos para saber por que a impressão é que tantos cibercriminosos da Rússia, aparentemente, fazem pouco para ocultar suas verdadeiras identidades. A verdade é que – sejam russos ou não – a maioria deles não tem a intenção de se tornar criminosos inveterados, mas em vez disso, gradualmente se envolvem nessa história ao longo de vários anos, à medida que suas habilidades se expandem e se aprimoram.
Outro padrão importante é que o governo russo tende a cooperar ou ignorar a atividade cibercriminal dentro de suas fronteiras, desde que os hackers não roubem de empresas e cidadãos russos ou os ataquem. Como resultado, cibercriminosos bem-sucedidos na Rússia geralmente estão protegidos de processos e prisões por agências de aplicação da lei estrangeiras, desde que paguem às pessoas certas de vez em quando e não viajem para o exterior. E cibercriminosos que pretendem aderir estritamente a essas regras não escritas podem (pelo menos no início) se preocupar menos em apagar seus rastros online.
Mas a explicação mais simples é que cibercriminosos de todas as nacionalidades tendem a cometer uma série de erros básicos de segurança operacional no início de suas carreiras, quando são menos experientes e têm muito menos a perder com sua imprudência. Uma análise das primeiras postagens de Hastalamuerte em fóruns criminosos (aproximadamente 2019-2020) mostra um hacker relativamente inexperiente e pouco qualificado que ainda está tentando se estabelecer e ganhar uma reputação positiva nessas comunidades.
Por exemplo, em junho de 2020, a conta do Telegram de Hastalamuerte ingressou em um programa de treinamento de vários meses (@pntst) para aprender a usar ferramentas populares de teste de penetração. As postagens mostram que Hastalamuerte teve dificuldades com essas ferramentas.
A equipe de pesquisa de ameaças PRODAFT publicou um relatório detalhado sobre a história e as atividades atuais do The Gentlemen. A PRODAFT relatou que suas descobertas correspondem à mesma persona com "alto grau de confiança" e descobriu que o administrador (Zeta88/Hastalamuerte) fornece acesso inicial diretamente aos afiliados, principalmente credenciais Fortinet SSL-VPN obtidas por meio de ataques de força bruta (brute-force) ou retiradas do próprio banco de dados de vazamentos do grupo. Eles também descobriram que o administrador usa IA para desenvolver e manter o programa de ransomware e suas ferramentas associadas, bem como para auxiliar na fase de pós-exploração.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
