Dados internos atribuídos ao grupo revelam afiliados, infraestrutura, ferramentas de evasão, seleção de vítimas e fluxo operacional usado em campanhas de extorsão.
| Componente | Operação ransomware-as-a-service The Gentlemen, incluindo painel, construtor de locker, banco interno Rocket, infraestrutura em TOR, armazenamento NAS, afiliados e canais internos. |
| Vetor | Acesso inicial relatado por exposição de VPNs, firewalls e sistemas de borda, com foco em credenciais, exploração de vulnerabilidades conhecidas, compra de acessos e uso de túneis para persistência. |
| Impacto | Extorsão com roubo de dados e criptografia de ambientes corporativos, incluindo movimentação lateral, coleta de credenciais, abuso de Active Directory, evasão de EDR e preparação de infraestrutura para vazamento em DLS. |
| Prioridade | Revisar exposição de dispositivos de borda, telemetria de identidade, túneis não autorizados, sinais de desativação de EDR, acessos administrativos anômalos e atividade de exfiltração contra NAS, backups e virtualização. |
| Artefatos | Foram observados nomes como SystemBC, ZeroPulse, Velociraptor, NetExec, RelayKing, TaskHound, PrivHound, CertiHound, EDRStartupHinder, gfreeze, glinker, DumpBrowserSecrets, gogo.exe, buildx641, GLOCKER, vssadmin, ntds.dit e SYSTEM. |
| Infraestrutura | Os dados mencionam banco interno Rocket, armazenamento NAS, painel de administração, construtor para afiliados, site de vazamento DLS, canais internos e uso de TOX para contato operacional. |
O vazamento de dados associado ao ecossistema The Gentlemen expõe uma operação de ransomware-as-a-service que surgiu por volta de meados de 2025 e passou a operar com modelo de afiliados. O programa foi anunciado em fóruns clandestinos com incentivo financeiro agressivo, em que afiliados receberiam 90% do valor obtido em pagamentos e o operador manteria 10%. Em 2026, a contagem pública de vítimas no site de vazamento do grupo indicava centenas de organizações publicadas nos primeiros cinco meses do ano, o que posiciona a operação entre os grupos de ransomware mais ativos no recorte de vítimas tornadas públicas. Essa métrica não representa o total real de comprometimentos, porque vítimas que pagam resgate podem não aparecer no DLS, mas ajuda a medir a escala operacional e a cadência de publicação.
O material exposto inclui conversas internas, referências a afiliados, infraestrutura, canais de coordenação e ferramentas usadas durante intrusões. Os operadores discutem acesso inicial, seleção de alvos, exploração de dispositivos de borda, abuso de credenciais, evasão de ferramentas defensivas, movimentação lateral, roubo de dados e implantação do locker. O conjunto também mostra uma estrutura com papéis separados: um núcleo responsável por infraestrutura, painel, construtor do ransomware e distribuição de tarefas; afiliados dedicados a reconhecimento, exploração, persistência, coleta de credenciais e execução prática nos ambientes comprometidos; e intermediários de acesso ou colaboradores envolvidos em campanhas específicas. Para defesa, o valor do vazamento está menos em um único indicador e mais no entendimento do fluxo de ataque repetível adotado pelo grupo.
O fluxo operacional descrito começa com busca por exposição externa. Os operadores citam VPNs, firewalls e outros sistemas acessíveis pela internet como pontos de entrada, com menções recorrentes a plataformas Fortinet FortiGate e Cisco. As rotas de acesso incluem força bruta contra painéis web ou VPN, uso de credenciais obtidas em vazamentos, compra de acessos de fornecedores terceirizados e exploração de vulnerabilidades conhecidas, sem identificação pública de um CVE específico no material disponível. Depois do primeiro acesso, o ambiente de borda é tratado como ponto de pivô para reconhecimento interno, enumeração de identidade, descoberta de compartilhamentos, validação de privilégios e expansão para sistemas de maior valor.
Após a entrada, os operadores buscam privilégios elevados e persistência. As conversas mencionam Active Directory, abuso de certificados, técnicas locais de elevação de privilégio, exploração de sessões administrativas e análise de caminhos para domínio. Ferramentas como NetExec, RelayKing, PrivHound, CertiHound e TaskHound aparecem associadas a enumeração, relay NTLM, descoberta de permissões e abuso de configurações. Há também referência a persistência por túneis baseados em Cloudflare ou soluções de Zero Trust, além de uso de ZeroPulse, Velociraptor, VPNs personalizadas e proxies para manter conectividade estável. Esse padrão cria uma superfície difícil de detectar quando a organização monitora apenas malware em endpoint e não correlaciona identidade, tráfego externo e administração remota.
A etapa de preparação para impacto combina redução de visibilidade defensiva, coleta de dados e implantação coordenada do locker. O grupo discute pacotes para desativar ou interferir em EDR e antivírus, incluindo ferramentas como EDRStartupHinder, gfreeze, glinker e técnicas do tipo bring-your-own-vulnerable-driver. Também há menções a NTDLL unhooking, remoção de hardware breakpoints e alteração de ETW para reduzir rastros em Event Tracing for Windows. Na frente de coleta, o artefato buildx641 é descrito como coletor executado em máquina ingressada no domínio, com uso de vssadmin, cópias de sombra, ntds.dit e cópias de SYSTEM. O objetivo é obter credenciais, bases de identidade e dados corporativos antes da criptografia final.
A fase de extorsão envolve exfiltração de dados e criptografia. As conversas citam interesse em NAS, backups e infraestrutura de virtualização, incluindo dúvidas operacionais sobre bloqueio de ambientes ESXi. A implantação do locker aparece ligada a mecanismos de propagação por GPO e a um módulo de espalhamento, com uso de sessões administrativas existentes e execução coordenada para ampliar o alcance. Esse encadeamento confirma um modelo de dupla extorsão: primeiro, os operadores tentam obter dados para pressão pública; depois, buscam interromper a operação por criptografia. O vazamento interno também indica que o administrador do programa não atuava apenas como mantenedor da plataforma, mas teria participado diretamente de infecções em alguns casos.
A superfície mais exposta é composta por organizações com dispositivos de borda acessíveis pela internet, autenticação fraca, contas reutilizadas, credenciais já vazadas e baixa visibilidade sobre túneis de saída. Ambientes com VPNs e firewalls sem revisão contínua de contas, políticas de acesso e correções ficam mais suscetíveis a tentativas de validação de credenciais e exploração de falhas conhecidas. Como o material menciona compra de acessos de terceiros, a exposição não depende apenas de um serviço vulnerável ativo no momento do ataque: uma credencial antiga, uma sessão reutilizável ou uma conta sem MFA resistente a phishing pode bastar para iniciar o comprometimento.
Dentro da rede, a maior pressão recai sobre Active Directory, serviços de correio e colaboração, servidores de arquivos, NAS, backups, controladores de domínio, infraestrutura de virtualização e estáções com sessões administrativas. O uso de ferramentas para enumeração de permissões, certificados e relay NTLM indica que configurações legadas ou permissivas ampliam o impacto. O interesse em ntds.dit, cópias de SYSTEM, credenciais de navegador e sessões web mostra que o grupo procura material reutilizável para mover-se entre sistemas, acessar serviços corporativos e sustentar a intrusão mesmo quando parte do ambiente é isolada.
O vazamento também mostra uma superfície humana e operacional: afiliados, brokers de acesso, operadores de spam contra OWA/O365 e colaboradores por caso. Essa divisão aumenta a variabilidade dos ataques. Duas vítimas do mesmo RaaS podem receber cadeias diferentes, dependendo do afiliado envolvido, do tipo de acesso inicial e do conjunto de ferramentas disponível. Para defesa, isso significa que a detecção não deve depender exclusivamente de uma amostra do locker. É necessário cobrir comportamentos anteriores à criptografia, como varredura interna, alterações de log, enumeração de domínio, criação de túneis, cópia de bases sensíveis e tráfego de exfiltração.
- Dispositivos de borda expostos, principalmente VPNs, firewalls e painéis web com credenciais reutilizadas ou sem MFA robusto.
- Active Directory com relay
NTLM, certificados mal configurados, permissões excessivas e contas administrativas usadas em estáções comuns. NAS, backups, controladores de domínio, servidores de arquivos, ambientesESXie máquinas com sessões privilegiadas ativas.- Serviços OWA/O365 e contas corporativas expostas por logs, vazamentos anteriores ou brokers de acesso.
A caça deve começar antes do evento de criptografia. Em borda, procure autenticações repetidas contra VPN, alterações incomuns de configuração, acessos de ASN ou países fora do padrão da organização, criação de contas locais, falhas seguidas de sucesso e conexões administrativas logo após login remoto. Também é importante revisar buscas ou acessos vindos de credenciais antigas, especialmente quando a conta passa a interagir com ativos internos que normalmente não acessa. Em ambientes com Fortinet FortiGate, Cisco ou outros dispositivos de perímetro, a telemetria deve incluir logs de autenticação, sessões administrativas, mudanças de política, criação de túneis e atualizações aplicadas.
No endpoint e no domínio, os sinais de maior valor incluem enumeração massiva de Active Directory, consultas incomuns a compartilhamentos, varredura de portas internas, execução de ferramentas de administração ofensiva, tentativa de relay NTLM, acesso a ntds.dit, execução de vssadmin, manipulação de cópias de sombra e leitura de arquivos de hive como SYSTEM. Ferramentas como NetExec, RelayKing, PrivHound, CertiHound e TaskHound podem aparecer renomeadas, portanto a detecção precisa considerar comportamento: autenticações laterais em sequência, conexões SMB ou LDAP anômalas, descoberta de permissões em escala e acessos administrativos a múltiplos hosts em curto intervalo.
A evasão defensiva também deixa rastros. O grupo discute interferência em EDR, antivírus, ETW, hooks de NTDLL e uso de drivers vulneráveis. Procure paradas inesperadas de serviços de segurança, alterações em chaves de registro ligadas a proteção, falhas de telemetria em múltiplos endpoints ao mesmo tempo, carregamento de drivers incomuns, redução abrupta de eventos de segurança e binários executados com privilégios altos antes de grandes transferências de dados. Quando houver lacunas de log coincidentes com movimentação lateral ou compressão de arquivos, trate a ausência de telemetria como sinal investigativo, não como evidência de normalidade.
Para exfiltração, correlacione picos de leitura em NAS, servidores de arquivo e backups com compressão, criação de arquivos grandes, tráfego de saída atípico e uso de túneis. O uso de Cloudflare tunnels ou soluções de Zero Trust exige atenção a processos que iniciam conexões persistentes para domínios externos, serviços instalados sem aprovação e tráfego egress permitido por regras amplas. Em serviços de identidade e colaboração, monitore criação de regras suspeitas, login por clientes incomuns, envio em massa e acesso programático fora do padrão. A presença de atividade contra Jira ou OWA/O365 deve ser analisada no contexto de privilégios, volume e origem.
- Falha seguida de sucesso em VPN, login de origem incomum e sessão administrativa interna aberta logo depois.
- Execução de
vssadmin, leitura dentds.dit, cópia deSYSTEMe acesso anômalo a controladores de domínio. - Consultas LDAP, SMB e RPC em volume incompatível com a função do host ou da conta usada.
- Interrupção simultânea de serviços de EDR, queda de eventos
ETW, carregamento de driver incomum e alteração de políticas locais. - Criação de túnel persistente, tráfego egress prolongado e transferência incomum a partir de
NAS, backup ou virtualização.
A resposta deve priorizar redução de superfície externa e validação de identidade. Revise todos os serviços de borda expostos, aplique atualizações pendentes, remova painéis administrativos da internet quando possível e imponha MFA resistente a phishing para VPN, e-mail, administração remota e consoles críticos. Credenciais presentes em vazamentos anteriores devem ser tratadas como comprometidas, com rotação e invalidação de sessões. Contas administrativas precisam ser separadas por função, sem reutilização em estáções comuns, e com controles de acesso condicional baseados em dispositivo, localização, risco e postura do endpoint.
Em Active Directory, reduza caminhos de privilégio e endureça protocolos legados. Desabilite NTLM onde for viável, monitore exceções, revise templates de certificados, permissões de inscrição, delegações, grupos privilegiados e capacidade de leitura de dados sensíveis. Bloqueie acesso desnecessário a ntds.dit, proteja controladores de domínio contra logon interativo e limite ferramentas administrativas a hosts de administração dedicados. Para servidores de arquivo, NAS, backups e virtualização, aplique segmentação, contas separadas, logs imutáveis e testes regulares de restauração. Backups devem estar isolados de credenciais do domínio de produção e protegidos contra exclusão por contas comprometidas.
A contenção de uma intrusão compatível com esse perfil exige cortar túneis, revogar tokens, preservar evidências e impedir a fase de criptografia. Se houver indício de exfiltração ou preparação de locker, isole hosts com comportamento lateral, desabilite contas suspeitas, bloqueie conexões de saída não aprovadas, colete memória e artefatos de endpoint quando possível e preserve logs de VPN, proxy, DNS, EDR, identidade e armazenamento. Não limite a investigação ao binário de ransomware: a cadeia descrita mostra que a maior parte do dano é preparada antes da execução final. A organização deve validar se houve acesso a dados, cópia de credenciais, alteração de políticas de segurança e comprometimento de backups.
Depois da contenção, execute erradicação por camadas. Remova persistências, túneis e ferramentas, reinstale ou reprovisione sistemas críticos quando a integridade estiver incerta, aplique correções, reforce políticas e rotacione segredos. A rotação deve incluir contas privilegiadas, credenciais de serviço, chaves de API, tokens de nuvem, senhas de VPN, contas de backup, segredos de CI/CD e credenciais armazenadas em navegadores quando houver evidência de coleta. Por fim, teste detecções contra os comportamentos observados: enumeração de domínio, execução de vssadmin, coleta de hives, desativação de EDR, criação de túneis e transferência de grandes volumes a partir de repositórios de dados.
- Inventariar VPNs, firewalls e painéis expostos; aplicar atualizações; remover administração pública; exigir MFA resistente a phishing.
- Rotacionar credenciais e invalidar sessões quando houver indício de vazamento, broker de acesso ou autenticação fora do padrão.
- Endurecer Active Directory, revisar certificados, limitar
NTLM, reduzir privilégios e separar contas administrativas. - Segmentar
NAS, backups, controladores de domínio e virtualização; proteger restauração contra contas comprometidas. - Bloquear túneis não autorizados, preservar logs, isolar hosts com movimentação lateral e investigar exfiltração antes da criptografia.
0 Comentários