2026-06-10 00:00
← VoltarUm grupo de crimes cibernéticos conhecido como The Gentlemen emergiu como a segunda gangue de ransomware mais ativa em número de vítimas, atraindo rapidamente um grupo talentoso de hackers por meio de uma estratégia de recrutamento agressiva que promete aos afiliados 90% de qualquer resgate pago pelas vítimas. Esta postagem examina pistas que apontam para uma identidade na vida real do administrador do grupo de ransomware The Gentlemen. Especialistas da empresa de segurança Check Point Software têm coberto de perto as explorações do The Gentlemen, uma oferta chamada de “ransomware como serviço” (RaaS) que paga generosamente aos afiliados para ajudar a espalhar o malware do grupo. “Uma divisão de receitas de afiliados de 90/10 – em comparação com o padrão da indústria 80/20 – está acelerando o crescimento do grupo ao atrair operadores experientes de programas concorrentes”, escreveram os pesquisadores em abril. A Check Point descobriu que The Gentlemen é o segundo grupo de ransomware mais ativo em número de vítimas até agora neste ano, reivindicando pelo menos 332 vítimas publicadas desde o início do grupo em meados de 2025 e mais de 240 somente em 2026. De acordo com a Check Point, o grupo tem como ponto de entrada dispositivos voltados para a Internet (VPNs, firewalls) e, uma vez lá dentro, move-se rapidamente para criptografar redes inteiras em questão de horas. A Check Point afirma que o administrador e operador principal do grupo de ransomware usa o apelido Zeta88 nos...
Um grupo de crimes cibernéticos conhecido como The Gentlemen emergiu como a segunda gangue de ransomware mais ativa em número de vítimas, atraindo rapidamente um grupo talentoso de hackers por meio de uma estratégia de recrutamento agressiva que promete aos afiliados 90% de qualquer resgate pago pelas vítimas. Esta postagem examina pistas que apontam para uma identidade na vida real do administrador do grupo de ransomware The Gentlemen. Especialistas da empresa de segurança Check Point Software têm coberto de perto as explorações do The Gentlemen, uma oferta chamada de “ransomware como serviço” (RaaS) que paga generosamente aos afiliados para ajudar a espalhar o malware do grupo. “Uma divisão de receitas de afiliados de 90/10 – em comparação com o padrão da indústria 80/20 – está acelerando o crescimento do grupo ao atrair operadores experientes de programas concorrentes”, escreveram os pesquisadores em abril. A Check Point descobriu que The Gentlemen é o segundo grupo de ransomware mais ativo em número de vítimas até agora neste ano, reivindicando pelo menos 332 vítimas publicadas desde o início do grupo em meados de 2025 e mais de 240 somente em 2026. De acordo com a Check Point, o grupo tem como ponto de entrada dispositivos voltados para a Internet (VPNs, firewalls) e, uma vez lá dentro, move-se rapidamente para criptografar redes inteiras em questão de horas. A Check Point afirma que o administrador e operador principal do grupo de ransomware usa o apelido Zeta88 nos fóruns de crimes cibernéticos em russo e que esse indivíduo era anteriormente conhecido pelo apelido de Hastalamuerte. A Check Point observou que uma violação da infraestrutura de back-end do grupo deixou claro que Hastalamuerte/Zeta88 é a pessoa que monta o armário e o painel RaaS, gerencia os pagamentos e é essencialmente o administrador de todo o programa, que recebe 10% de todos os resgates.
QUEM É HASTALAMUERTE? A empresa de inteligência cibernética Intel 471 mostra que o usuário Hastalamuerte é uma pessoa que fala russo e inglês e se registrou em quase uma dúzia de fóruns de crimes cibernéticos entre 2019 e os dias atuais, incluindo Exploit, Breachforums, Ramp_V2, BHF, Raidforums e Nulled. A Intel 471 revela que Hastalamuerte se registrou no Breachforums em janeiro de 2025 a partir de um endereço de Internet em Izhevsk, capital da República Udmurt da Rússia. Da mesma forma, o usuário Zeta88 se inscreveu no fórum de crimes cibernéticos em inglês Breached em agosto de 2022 a partir de um endereço de Internet diferente em Izhevsk. Intel 471 encontra Hastalamuerte registrado no Raidforums em 2020 usando o endereço de e-mail [email protected] (1488 é uma combinação comum de dois símbolos numéricos associados à supremacia branca). Uma consulta a este endereço no serviço de inteligência de código aberto Epieos mostra que ele está conectado a uma conta da Apple e a um número de telefone que termina em 04. Epieos diz que o endereço Protonmail também está vinculado a uma conta GitHub sob o nome de usuário SantaMuerte. Essa conta está marcada como privada, mas um histórico da atividade desse usuário mostra que ele está observando e desenvolvendo uma série de ferramentas e explorações de malware.
Em abril de 2020, Hastalamuerte disse no fórum criminal Nulled que eles poderiam ser contatados pelo nome de mensageiro instantâneo Telegram @hastalamuerte18, e a empresa de inteligência de ameaças Flashpoint descobriu que esse nome de usuário recebeu o número exclusivo de ID do Telegram 30907522 [divulgação completa: Flashpoint é um anunciante neste blog]. O serviço de rastreamento de violações Constella Intelligence relata que o Telegram ID de Hastalamuerte está conectado a outro nome de usuário – “bu4vs” – e ao número de telefone russo 79127650004. Girar neste número de telefone no Constella busca vários registros de bancos de dados hackeados do governo russo, mostrando que ele foi atribuído a Alexander Andreevich Yapaev, um homem de 36 anos de Izhevsk. Constella revela que o número de telefone foi usado para criar uma conta na plataforma de mídia social russa Pikabu sob o nome “4apai18” e mostra que o Sr. Yapaev se inscreveu em vários sites usando o sobrenome comum Ivanov, ou então “Chapaev” (o numeral 4 é frequentemente usado como uma abreviação para o som “ch” em russo). Uma pesquisa no Intel 471 por crimes cibernéticos para Membros do rum com o apelido de SantaMuerte desenterram uma conta com o mesmo nome criada em 2020 no fórum de hackers russo Codeby. Intel 471 mostra este usuário originalmente registrado no Codeby com o apelido não tão sutil de Alexandr 4apaev. Constella descobriu que Yapaev usava regularmente o endereço de e-mail [email protected].
Enquanto isso, Epieos mostra que este endereço está conectado a uma conta do LinkedIn de Alexander Yapaev, que se lista como chefe de marketing B2B da empresa Uralenergo Udmurtia, um dos maiores fornecedores russos de produtos eletrotécnicos e de iluminação. Yapaev não respondeu a vários pedidos de comentários. Quase sempre que publicamos uma dessas histórias da Breadcrumbs, os leitores ficam curiosos para saber por que parece que tantos cibercriminosos da Rússia aparentemente fazem pouco para esconder suas identidades da vida real. A verdade é que – russos ou não – a maioria não se propôs exatamente a ser arqui-criminosos, mas, em vez disso, foi atraída para a cena gradualmente ao longo de vários anos, à medida que as suas competências se alargaram e aperfeiçoaram. Outra dinâmica importante é que o governo russo geralmente coopta ou ignora a actividade cibercriminosa dentro das suas fronteiras, desde que os hackers não roubem ou ataquem empresas e cidadãos russos. Como resultado, os cibercriminosos bem-sucedidos na Rússia são geralmente isentos de processos e detenções por parte de agências estrangeiras de aplicação da lei, desde que ocasionalmente paguem às pessoas certas e não viajem para o estrangeiro. E os cibercriminosos que pretendem aderir estritamente a essas regras não escritas podem (pelo menos inicialmente) estar menos preocupados em encobrir os seus rastos online. Mas a explicação mais simples é que os cibercriminosos de todas as nacionalidades tendem a cometer uma série de erros básicos de segurança operacional no início das suas carreiras, quando são menos experientes e têm muito menos a perder devido ao seu descuido.
Uma revisão das primeiras postagens de Hastalamuerte nos fóruns criminais (por volta de 2019-2020) mostra um hacker relativamente pouco sofisticado e pouco qualificado ainda tentando aprender o básico e ganhar uma reputação positiva nessas comunidades. Por exemplo, em junho de 2020, a conta de Hastalamuerte no Telegram ingressou em um programa de treinamento de vários meses (@pntst) para aprender como usar ferramentas populares de teste de penetração, e suas postagens espontâneas neste campo de treinamento de hackers mostram que Hastalamuerte está lutando para usar essas ferramentas de maneira eficaz. Um registro traduzido pelo Google das postagens de Hastalmuerte para @pntst está aqui. Atualização, 11 de junho, 10h23 ET: O grupo de pesquisa de ameaças PRODAFT lançou um artigo detalhado sobre a história e as operações atuais de The Gentlemen. A PRODAFT disse que suas descobertas correspondem à mesma pessoa com “alta confiança” e descobriu que o administrador (Zeta88/Hastalamuerte) fornece aos afiliados acesso inicial diretamente, principalmente credenciais Fortinet SSL-VPN obtidas por meio de ataques de força bruta ou provenientes do próprio banco de dados de vazamento do grupo. Eles também descobriram que o administrador está usando IA para desenvolver e manter o ransomware e as ferramentas associadas, bem como para auxiliar nas atividades pós-exploração.