Um grupo de crimes cibernéticos conhecido como The Gentlemen emergiu como a segunda gangue de ransomware mais ativa em número de vítimas, atraindo rapidamente um grupo talentoso de hackers por meio de uma estratégia de recrutamento agressiva que promete aos afiliados 90% de qualquer resgate pago pelas vítimas. Esta postagem examina pistas que apontam para uma identidade na vida real do administrador do grupo de ransomware The Gentlemen.
Um gráfico criado e compartilhado pelo administrador do grupo de ransomware The Gentlemen, Hastalamuerte, no Breachforums em maio de 2026. ke-la.com. têm coberto de perto as explorações do The Gentlemen, uma oferta chamada de “ransomware como serviço” (RaaS) que paga generosamente aos afiliados para ajudar a espalhar o malware do grupo.
“Uma divisão de receitas de afiliados de 90/10 – em comparação com o padrão da indústria 80/20 – está acelerando o crescimento do grupo ao atrair operadores experientes de programas concorrentes”, escreveram os pesquisadores em abril.
Os Gentlemen são o segundo grupo de ransomware mais ativo em número de vítimas até agora neste ano, reivindicando pelo menos 332 vítimas publicadas desde o início do grupo em meados de 2025 e mais de 240 somente em 2026.
De acordo com a Check Point, o grupo tem como ponto de entrada dispositivos voltados para a Internet (VPNs, firewalls) e, uma vez lá dentro, move-se rapidamente para criptografar redes inteiras em questão de horas.
A Check Point diz que o administrador e operador principal do grupo de ransomware usa o apelido nos fóruns de crimes cibernéticos em russo, e que esse indivíduo era anteriormente conhecido pelo apelido da infraestrutura de back-end do grupo. Deixou claro que Hastalamuerte/Zeta88 é a pessoa que monta o armário e o painel RaaS, gerencia os pagamentos e é essencialmente o administrador de todo o programa, que recebe 10% de todos os resgates. Mostra que o usuário Hastalamuerte é uma pessoa que fala russo e inglês e se registrou em quase uma dúzia de fóruns de crimes cibernéticos entre 2019 e os dias atuais, incluindo Exploit, Breachforums, Ramp_V2, BHF.
Intel 471 revela que Hastalamuerte se registrou no Breachforums em janeiro de 2025 a partir de um endereço de Internet na capital da República Udmurt da Rússia. Da mesma forma, o usuário se inscreveu no fórum de crimes cibernéticos em inglês Breached em agosto de 2022 a partir de um endereço de Internet diferente em Izhevsk.
Intel 471 encontra Hastalamuerte registrado no Raidforums em 2020 usando o endereço de e-mail hastalamuerte1488@protonmail.com.
As informações são do site Krebs on Security