A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), líder global em soluções de cibersegurança, revela uma análise aprofundada à operação The Gentlemen, um grupo de ransomware-as-a-service, RaaS, que se tornou uma das ameaças mais ativas de 2026. A investigação da Check Point Research, CPR, resulta de uma fuga de dados interna do próprio grupo criminoso, que permitiu observar, de forma rara, a estrutura operacional, os métodos de intrusão, as ferramentas utilizadas, os processos de negociação e até a forma como a inteligência artificial está a acelerar o desenvolvimento de plataformas de ataque.
A 4 de maio de 2026, o administrador do The Gentlemen reconheceu em fóruns clandestinos que a base de dados interna do grupo, conhecida como Rocket, tinha sido comprometida. A informação exposta incluía conversas internas, dados operacionais, discussões sobre vítimas, ferramentas, credenciais, pagamentos e evidências da forma como a organização coordena ataques de ransomware em escala. Segundo a análise da Check Point Research, esta fuga representa uma oportunidade invulgar para perceber como funciona, por dentro, uma operação moderna de ransomware.
O The Gentlemen surgiu em meados de 2025 e rapidamente se posicionou como uma operação altamente produtiva. Em 2026, com base nas vítimas publicadas no seu data leak site, o grupo surge como uma das operações RaaS mais ativas, com mais de 400 vítimas públicas identificadas. O modelo do grupo assenta numa divisão agressiva de receitas, com 90% para os afiliados e 10% para o operador, uma proposta desenhada para atrair atacantes experientes de outros ecossistemas criminosos.
Uma operação pequena, profissional e altamente coordenada
A investigação revela que o The Gentlemen não funciona como uma rede dispersa de criminosos ocasionais, mas como uma estrutura coordenada, composta por cerca de nove operadores identificados, organizada em torno de um administrador conhecido como zeta88, também associado ao alias hastalamuerte.
Este administrador ocupa um papel central na operação. De acordo com a Check Point Research, zeta88 gere a infraestrutura, desenvolve o locker de ransomware, mantém o painel RaaS, administra pagamentos, distribui vítimas por equipas e participa diretamente em ataques. As conversas internas mostram o próprio administrador a executar fases de encriptação em ambientes comprometidos, o que sugere que não se limita a gerir a plataforma, mas também conduz operações ofensivas.
A CPR identificou ainda oito TOX IDs distintos associados a afiliados do grupo, a partir da análise de campanhas e amostras públicas de ransomware. Um destes identificadores corresponde ao próprio administrador, o que reforça a conclusão de que participa diretamente em infeções e não apenas na gestão da infraestrutura criminosa.
A inteligência artificial já está a acelerar o ransomware
Um dos pontos mais relevantes da investigação é a utilização de inteligência artificial no desenvolvimento e apoio operacional do grupo. As conversas analisadas mostram que o administrador afirmou ter construído o painel administrativo GLOCKER em apenas três dias com recurso a programação assistida por IA.
O grupo menciona modelos como DeepSeek, Qwen, Kimi e Emi como ferramentas úteis para apoio técnico e desenvolvimento. A utilização de IA surge, sobretudo, em tarefas de programação, consulta técnica rápida e apoio à análise operacional. Embora existam discussões sobre a possibilidade de usar modelos locais, sem censura, para analisar grandes volumes de dados roubados, a CPR considera que estes casos mais avançados parecem ainda estar numa fase conceptual.
Ainda assim, a investigação confirma uma tendência preocupante: os grupos de ransomware estão a incorporar IA como acelerador operacional. Não se trata apenas de criar phishing mais convincente ou automatizar tarefas simples, mas de reduzir o tempo necessário para desenvolver componentes críticos de uma infraestrutura criminosa.
Como o The Gentlemen entra nas organizações
A análise mostra que o ponto de entrada mais comum continua a ser a infraestrutura exposta à internet. O grupo foca-se especialmente em dispositivos de edge, como VPNs, firewalls, gateways de acesso remoto e interfaces de gestão mal protegidas.
Entre os métodos observados estão a exploração de vulnerabilidades conhecidas, ataques de força bruta contra painéis web e VPN, compra de acessos a terceiros e utilização de credenciais roubadas em mercados de infostealers. As conversas internas revelam interesse ativo em vulnerabilidades como CVE-2024-55591, associada a interfaces de gestão FortiOS, CVE-2025-32433, relacionada com Erlang SSH em contexto Cisco, e CVE-2025-33073, ligada a cenários de NTLM relay.
Depois do acesso inicial, os operadores avançam rapidamente para reconhecimento interno, escalada de privilégios, abuso de Active Directory, recolha de credenciais, movimento lateral, desativação de ferramentas de segurança e exfiltração de dados. Só depois é executada a encriptação, muitas vezes com mecanismos preparados para se propagarem rapidamente na rede através de privilégios administrativos existentes.
Uma cadeia de ataque repetível e industrializada
A fuga de dados mostra que o The Gentlemen segue um playbook operacional bem definido. O grupo começa por identificar ativos expostos, credenciais ou acessos comprados. Depois move-se para a rede interna, procura permissões elevadas e tenta reduzir a visibilidade defensiva através da desativação ou manipulação de soluções EDR e antivírus.
Entre as ferramentas e recursos mencionados nas conversas surgem frameworks de acesso remoto e C2, túneis Cloudflare, VPNs personalizadas, ferramentas de red team, mecanismos de enumeração de Active Directory, abuso de certificados, técnicas de NTLM relay, recolha de sessões de browser e ferramentas dedicadas a contornar ou fragilizar soluções de segurança.
A CPR destaca que o The Gentlemen não inventou necessariamente novas técnicas. O que torna o grupo perigoso é a forma como combina ferramentas conhecidas, vulnerabilidades recentes, processos de colaboração e um modelo de afiliados competitivo para transformar ataques complexos numa operação repetível.
Um ataque pode tornar-se a porta de entrada para o próximo
Um dos casos mais relevantes identificados pela Check Point Research demonstra como uma vítima pode ser usada para comprometer outra. Em abril de 2026, o The Gentlemen atacou uma consultora de software no Reino Unido. Posteriormente, segundo as conversas internas analisadas, dados roubados nessa primeira intrusão, incluindo documentação de infraestrutura, informação de clientes e possíveis credenciais, foram usados para apoiar um ataque contra uma empresa na Turquia.
Nas discussões internas, o grupo chegou a considerar publicar a empresa turca no seu site de fuga de dados com uma referência explícita ao facto de o acesso ter sido obtido através da consultora britânica. Esta abordagem tinha um duplo objetivo: pressionar a vítima inicial e aumentar a pressão sobre a segunda organização, ao criar potenciais consequências legais e reputacionais entre cliente e fornecedor.
Este caso demonstra uma realidade crítica para as empresas: uma violação de segurança já não afeta apenas a própria organização. Pode transformar-se numa porta de entrada para clientes, parceiros e fornecedores. A informação detida sobre terceiros deve, por isso, ser protegida com o mesmo rigor que os ativos internos mais sensíveis.
A extorsão como processo de negócio
A fuga de dados também expôs detalhes sobre negociações e pagamentos. A CPR identificou capturas de ecrã de negociações de resgate, incluindo um caso em que o grupo terá recebido 190.000 dólares, após uma exigência inicial de 250.000 dólares.
As conversas mostram ainda discussões sobre formas de movimentar e levantar fundos, incluindo cadeias de transações, carteiras não custodiais, verificação de riscos AML, levantamentos através de códigos QR bancários e mecanismos de entrega física de dinheiro. Estes elementos reforçam a natureza organizada, financeira e operacionalmente madura do grupo.
O administrador também demonstrou consciência clara da importância da pressão psicológica e reputacional nas negociações. As mensagens internas incluem modelos de comunicação destinados a amplificar o impacto da extorsão, com referências a danos reputacionais, exposição regulatória, custos operacionais e possíveis consequências legais.
O que esta investigação revela sobre o ransomware moderno
A operação The Gentlemen ilustra a evolução do ransomware moderno: estruturas pequenas, altamente coordenadas, com modelos comerciais agressivos, ferramentas reutilizáveis, utilização crescente de IA e capacidade de explorar cadeias de confiança entre organizações.
Para os defensores, a principal conclusão é clara: a prevenção já não pode estar focada apenas no momento da encriptação. Quando o ransomware é executado, a organização pode já ter perdido o controlo sobre dados, credenciais, sessões, acessos e documentação interna. A deteção deve acontecer mais cedo, nas fases de acesso inicial, movimento lateral, abuso de identidade, manipulação de segurança e exfiltração.
“Obter este nível de visibilidade sobre uma operação ativa de ransomware é raro. O que vemos aqui não são atores isolados ou improvisados, mas profissionais com funções, processos, expectativas de desempenho e um modelo de receita claro. O administrador construiu parte da plataforma de ataque em três dias com apoio de IA, uma violação foi usada para chegar à vítima seguinte, e toda a operação funciona com mentalidade de startup criminosa. As organizações precisam de tratar o ransomware como crime organizado altamente profissionalizado”, afirma Eli Smadja, Group Manager da Check Point Research.
Recomendações da Check Point Research para as organizações
A investigação mostra que a sofisticação do The Gentlemen está menos no ponto de entrada e mais na execução. Por isso, a Check Point Research recomenda que as organizações reforcem as seguintes áreas prioritárias:
- Corrigir vulnerabilidades em dispositivos de edge como prioridade executiva
VPNs, firewalls, gateways de acesso remoto e interfaces de gestão são hoje a porta de entrada preferencial de muitos grupos de ransomware. A atualização e validação contínua destes sistemas deve ser tratada como prioridade de gestão, não apenas como tarefa técnica.
- Assumir que credenciais já podem estar comprometidas
A autenticação multifator continua a ser essencial, mas não é suficiente. As empresas devem monitorizar padrões anómalos de autenticação em Microsoft 365, VPNs, sistemas de identidade, Okta, Azure AD e outros serviços críticos.
- Reforçar a segurança do Active Directory
Ataques de NTLM relay, abuso de certificados e más configurações de Active Directory são elementos centrais no playbook do grupo. Auditorias regulares, segmentação, redução de privilégios e monitorização comportamental são essenciais.
- Detetar movimento lateral antes da encriptação
A oportunidade real de deteção surge antes da fase final do ataque. Comportamentos como enumeração interna, criação de túneis, abuso de ferramentas administrativas, recolha de credenciais e desativação de segurança devem gerar alertas de alta prioridade.
- Proteger backups e sistemas de armazenamento
O grupo visa NAS, sistemas de backup e infraestruturas de virtualização. Backups offline, imutáveis e separados do domínio podem ser decisivos para evitar a capitulação perante um pedido de resgate.
- Avaliar o risco na cadeia de fornecimento
Empresas que prestam serviços tecnológicos, consultoras, fornecedores geridos e parceiros com acesso a ambientes de clientes devem rever a forma como armazenam documentação, credenciais, diagramas de rede e informação operacional sensível.
Proteção Check Point
Os clientes Check Point estão protegidos contra o ransomware The Gentlemen através das capacidades de Threat Emulation e Harmony Endpoint, que ajudam a prevenir, detetar e bloquear atividades maliciosas associadas a ransomware, movimento lateral, exploração de vulnerabilidades e execução de ficheiros maliciosos.
A Check Point Research partilhou as conclusões desta investigação com as autoridades competentes.
Educação, Administração Pública e Telecomunicações continuam entre os principais alvos
Em abril, o sector da Educação voltou a ser o mais atacado a nível global, com uma média de 4946 ataques semanais por organização, um aumento de 8% face ao ano anterior. A combinação entre grandes comunidades de utilizadores, ambientes distribuídos e recursos de segurança frequentemente limitados continua a tornar este sector particularmente atrativo para os atacantes.
As organizações governamentais surgem em segundo lugar, com 2797 ataques semanais, num cenário relativamente estável, com uma descida homóloga de 1%. O sector das Telecomunicações ocupa a terceira posição, com 2728 ataques por semana, um crescimento de 3% face ao ano anterior, à medida que os cibercriminosos procuram causar disrupção em escala e obter acesso indireto a múltiplos serviços e organizações.
Sectores expostos a padrões sazonais, como Hotelaria, Viagens e Lazer, também mantiveram níveis elevados de atividade. A aproximação dos períodos de maior procura aumenta o volume de transações digitais, integrações com terceiros e pressão operacional, factores que alargam a superfície de ataque.
Todas as regiões registam crescimento, com a América Latina na liderança global
A América Latina continuou a ser a região mais atacada do mundo, com uma média de 3.364 ataques semanais por organização e um aumento homólogo de 20%. A rápida digitalização, combinada com níveis desiguais de maturidade em cibersegurança, mantém a região sob forte pressão.
A região APAC registou 3.213 ataques semanais, mais 4% face ao ano anterior, enquanto África apresentou uma média de 2.940 ataques semanais, apesar de uma descida homóloga de 9%. A Europa registou 1.848 ataques semanais por organização, um crescimento de 9%, enquanto a América do Norte registou 1.499 ataques semanais, mais 0,4% face ao ano anterior.
O facto de todas as regiões terem registado aumentos face ao mês anterior mostra que a retoma da atividade maliciosa é transversal e não resulta apenas de picos isolados.
A adoção da IA generativa continua a aumentar o risco de exposição de dados
Apesar das variações no volume de ataques, o risco associado à IA generativa manteve se elevado durante o mês de abril. A Check Point Research concluiu que 1 em cada 28 prompts submetidos a ferramentas de IA generativa a partir de ambientes empresariais representava um risco elevado de fuga de informação sensível, impactando 90% das organizações que utilizam regularmente estas ferramentas.
Adicionalmente, 19% dos prompts continham informação potencialmente sensível. Durante o mês, as organizações utilizaram, em média, 10 ferramentas diferentes de IA generativa, enquanto o utilizador empresarial típico gerou 77 prompts por mês.
Estes dados mostram que o risco está a deslocar se da simples frequência de ataques para o impacto da exposição. Informação sensível pode sair das organizações através de interações quotidianas com ferramentas de IA generativa que, muitas vezes, ficam fora da visibilidade tradicional das equipas de segurança.
Ransomware cresce em abril e reforça risco de disrupção
O ransomware manteve se como uma das ameaças mais disruptivas em abril, com 707 ataques divulgados publicamente, o que representa um aumento de 5% face ao mês anterior e de 12% face ao mesmo período do ano passado.
O sector de Serviços Empresariais continuou a ser o mais visado, representando 33,8% dos incidentes de ransomware reportados. Seguem se os sectores de Bens e Serviços de Consumo, com 14,4%, e Indústria Transformadora, com 9,9%, áreas onde a paragem operacional e a exposição de dados se traduzem rapidamente em pressão financeira.
A nível regional, a América do Norte concentrou 46% dos ataques de ransomware divulgados, seguida da Europa, com 27%, e da região APAC, com 17%. Ao nível dos países, os Estados Unidos foram o mercado mais impactado, representando 41,6% dos ataques de ransomware reportados, seguidos da Alemanha, com 5,0%, Canadá, com 4,8%, e Itália, com 4,0%.
O ecossistema de ransomware concentra poder, mas continua a expandir se
A atividade de ransomware em abril foi liderada por um pequeno grupo de operadores de elevado volume. O grupo Qilin representou 15% dos ataques publicados, seguido de The Gentlemen, com 10%, e DragonForce, com 9%.
Embora os três principais grupos tenham sido responsáveis por 34% dos incidentes reportados, um total de 56 grupos diferentes de ransomware impactou publicamente organizações em todo o mundo durante o mês.
Esta combinação entre concentração no topo e expansão na base demonstra a resiliência do ecossistema de ransomware, onde plataformas estabelecidas de Ransomware as a Service continuam a escalar através do recrutamento de afiliados e de ferramentas avançadas, enquanto operadores mais pequenos mantêm pressão constante sobre diferentes sectores.
Portugal acima da média europeia em ataques semanais por organização
Em abril de 2026, Portugal registou uma média de 2437 ciberataques semanais por organização, um aumento de 11% face ao mesmo período do ano anterior. Este valor coloca o mercado português acima da média europeia, que foi de 1848 ataques semanais por organização, mais 9% em termos homólogos.
Na prática, as organizações portuguesas enfrentaram cerca de 32% mais ataques semanais do que a média europeia e cerca de 11% mais do que a média global de 2201 ataques por semana. Este diferencial mostra que Portugal não está apenas exposto à tendência global de crescimento, está também a enfrentar um nível de pressão superior ao contexto europeu.
Educação, Administração Pública e Serviços Financeiros lideram em Portugal
No mercado português, os sectores mais atacados em abril foram Educação, Administração Pública e Serviços Financeiros. Estes três sectores surgem acima da comparação global no ficheiro de análise sectorial, o que reforça a necessidade de maior maturidade em prevenção, segmentação, proteção de dados e resposta a incidentes.
O ranking nacional de sectores mais pressionados em Portugal é composto por:
- Educação
- Administração Pública
- Serviços Financeiros
- Telecomunicações
- Serviços Empresariais
- Bens e Serviços de Consumo
- Indústria Transformadora
Este perfil nacional acompanha algumas das principais tendências globais, mas revela uma pressão particularmente relevante sobre instituições com elevado volume de dados pessoais, infraestruturas críticas, serviços essenciais e cadeias de terceiros.
“Os dados de abril mostram que Portugal continua a ser um mercado altamente exposto, com níveis de ataque acima da média europeia e global”, afirma Rui Duro, Country Manager da Check Point Software Technologies em Portugal. “A Educação, a Administração Pública e os Serviços Financeiros concentram informação crítica e operações essenciais, o que os torna alvos de elevado valor. As organizações portuguesas não podem olhar para a cibersegurança apenas como uma resposta a incidentes. É essencial apostar em prevenção, visibilidade, segurança baseada em IA e governação rigorosa dos dados, sobretudo num momento em que a cloud e a IA generativa estão a acelerar a transformação digital.”
O que estes dados significam para as organizações portuguesas
Para as empresas e entidades públicas em Portugal, os dados de abril apontam para três prioridades imediatas.
A primeira é reforçar a prevenção. Num contexto de ataques persistentes e automatizados, a capacidade de bloquear ameaças antes do impacto torna se mais importante do que a simples deteção posterior.
A segunda é proteger a utilização de IA generativa. A fuga de dados através de prompts empresariais mostra que a governação da IA deve passar a fazer parte das políticas de segurança, compliance e proteção de informação.
A terceira é reduzir a exposição operacional. Sectores como Educação, Administração Pública, Serviços Financeiros, Telecomunicações e Indústria devem rever acessos, integrações com terceiros, segmentação de rede e planos de continuidade, uma vez que o ransomware continua a explorar precisamente os pontos onde a interrupção gera maior pressão.