Ransomware avança com incentivos financeiros mais agressivos

Um novo grupo de cybercrime cibercrime, batizado de The Gentlemen, está a dominar o cenário global de ataques de ransomware com um modelo de negócios tão agressivo quanto eficaz. Segundo a divisão de investigação de ameaças da Check Point, o grupo emergiu em meados de 2025 e, em poucos meses, já reivindicou mais de 320 vítimas — sendo que, apenas nos primeiros meses de 2026, realizou 240 ataques. Contudo, os dados internos apontam para uma realidade ainda mais sombria: um servidor de comando e controlo analisado revelou um botnet com mais de 1.570 organizações comprometidas, muito acima do número divulgado publicamente.

O rápido crescimento do grupo não se deve a uma technical innovation inovação técnica revolucionária, mas sim a um modelo económico altamente competitivo. The Gentlemen oferece uma divisão de receitas de 90% para o afiliado e apenas 10% para o operador — um claro desvio do padrão de mercado de 80/20. Essa financial incentive incentivo financeiro tem atraído até mesmo operadores experientes de grupos como o LockBit. Junto com esse atrativo, o grupo disponibiliza um conjunto robusto de ferramentas, incluindo encriptadores para Windows, Linux e ambientes virtualizados, além de mecanismos para desativar security solutions soluções de segurança e movimentar-se lateralmente nas redes.

Setores como a Indústria e a Tecnologia concentram a maioria das vítimas, mas é a crescente presença no setor da Saúde que mais preocupa. Ao contrário de alguns grupos que evitam serviços críticos por pressão ética ou public pressure pressão pública, The Gentlemen não demonstra restrições. Geograficamente, os Estados Unidos lideram em número de incidentes, seguidos pelo Reino Unido e Alemanha. A maioria dos acessos inicia-se através de dispositivos expostos à Internet — como VPNs e firewalls — sem atualizações de segurança, um vetor simples, mas ainda amplamente explorado.

Num dos casos analisados, os atacantes já tinham privilégios de administração de domínio quando foram detetados. A partir daí, a intrusão seguiu um padrão estruturado: reconhecimento da rede, execução remota de comandos e disseminação do malware por políticas de grupo, resultando na encriptação quase simultânea de todos os sistemas do domínio. Foram usadas ferramentas como Cobalt Strike e Mimikatz, e os atacantes desativaram antivírus e firewalls, garantindo persistence persistência com software de acesso remoto.

O próprio malware é projetado para ambientes empresariais: permite ajustar a velocidade de encriptação, selecionar alvos e automatizar a propagação. Em infraestruturas virtualizadas, interrompe máquinas virtuais antes da encriptação, maximizando o operational impact impacto operacional. O esquema criptográfico combina algoritmos modernos e elimina cópias de segurança e registos de eventos, dificultando a recuperação e a investigação. Para Rui Duro, da Check Point em Portugal, o caso mostra que o risco atual vem menos da sofisticação técnica e mais da combinação entre modelos de negócio atraentes e falhas básicas de segurança nas organizações.

Este caso ilustra uma tendência crescente: o cibercrime está a evoluir com base em economic models modelos económicos eficientes, não apenas em tecnologia avançada. A prevenção continua a ser a melhor defesa — com atualizações regulares, visibilidade sobre movimentos internos na rede e o uso de inteligência de ameaças. A security gap brecha de segurança mais explorada ainda é humana e administrativa, não técnica.