Uma disputa de $48 mil em comissões não pagas gerou um dos grupos de ransomware mais agressivos de 2026. E o próprio grupo foi hackeado de volta. A Gentlemen RaaS nasceu de uma ruptura, escalou para 478+ vítimas em 66 países e expôs uma verdade desconfortável: quase 15 mil FortiGate permanecem sem patch meses depois da correção disponível.
A origem: $48 mil e uma ruptura
O operador conhecido como Hastalamuerte era afiliado (affiliate) da Qilin sob o codinome ArmCorp. Em julho de 2025, a Qilin reteve cerca de $48 mil em comissões. Hastalamuerte se desligou e lançou a Gentlemen RaaS independente.
O split de afiliados explica a escala: 90/10, contra o padrão da indústria de 80/20. Segundo a Halcyon, só a RansomHub havia igualado essa divisão anteriormente. Com 90% do resgate ficando com o afiliado, a Gentlemen atraiu operadores experientes rapidamente. Em menos de um ano: 478+ vítimas listadas no leak site, 66 países. Segundo a Halcyon, escala que rivaliza com a LockBit 3.0 no mesmo período.
O vetor de entrada: FortiGate não corrigidos
O acesso inicial da Gentlemen é direto: firewalls FortiGate não corrigidos. O CVE-2024-55591 (auth bypass, CVSS 9.6 segundo a Fortinet) no FortiOS permite que atacantes contornem a autenticação e obtenham acesso administrativo. Segundo a Group-IB, o grupo mantém cerca de 14.700 dispositivos FortiGate comprometidos e 969 credenciais VPN validadas obtidas por brute force (força bruta).
O patch público foi lançado em janeiro de 2025 (comunicações antecipadas a clientes ocorreram em dezembro de 2024). Quase 15 mil dispositivos comprometidos em meados de 2026 significam que patching em perímetros continua sendo o elo mais fraco da cadeia de segurança corporativa. Na Tech86, vemos isso repetidamente: o perímetro é onde mais investimos em firewalls e onde menos investimos em manutenção.
O encryptor: de host único a worm auto-propagante
A Microsoft publicou a dissecação técnica em 28 de maio (tracking: Storm-2697). O encryptor tem um argumento --spread que o transforma de encryptor de host único em worm auto-propagante. Quando ativado, tenta 21 técnicas simultâneas de lateral movement (movimento lateral): PsExec, WMI, scheduled tasks, services, PowerShell remoting, SMB shares e outras. Bloquear uma não basta.
A criptografia é robusta: cada arquivo recebe um par efêmero Curve25519 + XChaCha20. Chave única por arquivo. Segundo a Microsoft, isso torna a descriptografia sem a chave privada do operador funcionalmente impossível. Arquivos grandes são parcialmente criptografados em chunks para velocidade — o objetivo é maximizar o dano no menor tempo possível.
O grupo corrige seus próprios decryptors no mesmo dia em que são publicados. O decryptor do Bedrock Safeguard funciona apenas se você capturou um dump de memória durante a criptografia ativa — ele explora o fato de que Go não zera heap memory. Não existe decryptor universal.
A ironia: o extorsionário foi extorquido
Em 4 de maio, o banco de dados interno do Rocket.Chat do grupo vazou: 16.22 GB, 3.366 mensagens. Segundo a Check Point, que analisou os chats, o vazamento expôs 9 operadores nomeados, o pipeline de exploração FortiGate, desenvolvimento assistido por IA (LLMs "abliterated" com filtros de segurança removidos para codificar ransomware e redigir negociações) e a identidade real do admin.
Segundo KrebsOnSecurity (10 de junho de 2026), investigação de OSINT aponta o administrador da Gentlemen como Alexander Andreevich Yapaev, 36 anos, de Izhevsk, Rússia. A identificação baseia-se em correlação de aliases em fóruns criminais, dados de databases governamentais russos vazados e perfis em redes sociais — não há, até o momento, confirmação por ação judicial ou sanção governamental. O LinkedIn o lista como head de marketing B2B na Uralenergo Udmurtia. Construiu o painel da RaaS em 3 dias com assistentes de IA.
A simetria é o ponto central: um grupo que ergueu operação sobre extorsão dupla teve suas próprias comunicações internas vazadas por extorsão. O Rocket.Chat era o canal de coordenação — e virou a maior fonte de inteligência sobre as operações do grupo.
A lição operacional
O patch do CVE-2024-55591 foi lançado publicamente em janeiro de 2025. Quase 15 mil FortiGate comprometidos em 2026 sugerem que patching em perímetros é tratado como evento, não como processo. Na Tech86, tratamos patching de perímetro como processo contínuo — não como evento pontual. Isso significa monitoramento contínuo de vulnerabilidades em firewalls e dispositivos de borda, com alertas automáticos quando CVEs críticos afetam o perímetro.
A Gentlemen mostrou que um grupo que nasce de uma disputa de comissões pode rivalizar com operações estabelecidas quando o incentivo financeiro é alto e o vetor de entrada é um patch que já existe. A defesa não é complexa — é disciplinada. Aplique patches, force MFA em VPNs, segmente a rede e mantenha cópias de segurança (backups) imutáveis. O que falta não é conhecimento, é execução.