A empresa de cibersegurança **Check Point Software** tem acompanhado de perto **The Gentlemen**, uma sofisticada operação de "ransomware-as-a-service" (RaaS). A atraente divisão de receita de 90/10 para afiliados do grupo – significativamente maior do que o padrão da indústria de 80/20 – acelerou efetivamente seu crescimento ao atrair operadores experientes de programas rivais. De acordo com a **Check Point**, **The Gentlemen** se tornaram o segundo grupo de ransomware mais ativo por número de vítimas este ano, reivindicando pelo menos 332 vítimas publicadas desde sua fundação em meados de 2025, com mais de 240 apenas em 2026. Seu modus operandi envolve o direcionamento de dispositivos voltados para a internet, como VPNs e firewalls, como pontos de entrada iniciais, movendo-se rapidamente para criptografar redes inteiras em horas após a entrada. A **Check Point** identifica o administrador e principal operador do grupo pelo apelido **Zeta88** em fóruns cibercriminosos de língua russa, anteriormente conhecido como **Hastalamuerte**. Uma violação da infraestrutura de backend do grupo teria confirmado que **Hastalamuerte**/**Zeta88** é responsável por montar o locker e o painel RaaS, gerenciar pagamentos e supervisionar toda a operação, recebendo 10% de todos os resgates. ## Quem é Hastalamuerte? A empresa de inteligência cibernética **Intel 471** revela que **Hastalamuerte** é um indivíduo de língua russa e inglesa que se registrou em quase uma dúzia de fóruns cibercriminosos entre 2019 e o presente, incluindo **Exploit**, **Breachforums**, **Ramp_V2**, **BHF**, **Raidforums** e **Nulled**. A **Intel 471** descobriu que **Hastalamuerte** se registrou no **Breachforums** em janeiro de 2025 a partir de um endereço de internet em **Izhevsk**, a capital da República de Udmúrtia, na Rússia. Da mesma forma, o usuário **Zeta88** se inscreveu no fórum cibercriminoso de língua inglesa Breached em agosto de 2022 a partir de um endereço IP diferente de **Izhevsk**. Investigações adicionais pela **Intel 471** mostram que **Hastalamuerte** se registrou no **Raidforums** em 2020 usando o endereço de e-mail **[email protected]**. O número '1488' é um símbolo conhecido associado à supremacia branca. Uma consulta **Epieos** neste endereço o vincula a uma conta Apple e a um número de telefone terminado em **04**. A **Epieos** também conecta este endereço Protonmail a uma conta GitHub sob o nome de usuário **SantaMuerte**. Embora a conta seja privada, seu histórico de atividades indica envolvimento no monitoramento e desenvolvimento de várias ferramentas de malware e exploits. Em abril de 2020, **Hastalamuerte** postou no fórum de crimes **Nulled**, fornecendo o nome do mensageiro instantâneo Telegram **@hastalamuerte18**. A empresa de inteligência de ameaças **Flashpoint** confirmou que este nome de usuário está associado ao número de ID exclusivo do Telegram **30907522**. O serviço de rastreamento de violações **Constella Intelligence** relata que o ID do Telegram de **Hastalamuerte** está vinculado a outro nome de usuário, "**bu4vs**", e ao número de telefone russo **79127650004**. A análise deste número no **Constella** produziu vários registros de bancos de dados do governo russo comprometidos, atribuindo-o a **Alexander Andreevich Yapaev**, um homem de 36 anos de **Izhevsk**. A **Constella** também descobriu que este número de telefone foi usado para criar uma conta na plataforma de mídia social russa Pikabu sob o nome "**4apai18**", e que o Sr. **Yapaev** se registrou em vários sites usando o sobrenome "Chapaev" (com '4' frequentemente substituindo 'ch' em russo). Uma pesquisa da **Intel 471** por membros de fóruns cibercriminosos com o apelido **SantaMuerte** revelou uma conta criada em 2020 no fórum de hacking russo Codeby. A **Intel 471** mostra que este usuário originalmente se registrou no Codeby com o apelido menos sutil **Alexandr 4apaev**. A **Constella** indica que o Sr. **Yapaev** usou regularmente o endereço de e-mail **[email protected]**. Enquanto isso, a **Epieos** vincula este endereço a uma conta do LinkedIn para **Alexander Yapaev**, que se autodenomina chefe de marketing B2B na **Uralenergo Udmurtia**, um grande fornecedor russo de produtos eletrotécnicos e de iluminação. O Sr. **Yapaev** não respondeu a múltiplos pedidos de comentários. ## Por que as Aparentes Falhas em OpSec? É uma observação comum que muitos cibercriminosos, particularmente aqueles que operam na Rússia, parecem deixar rastros digitais discerníveis. Isso muitas vezes decorre de uma imersão gradual no cibercrime, em vez de uma intenção inicial de ser um criminoso endurecido. Suas habilidades evoluem com o tempo, e erros iniciais de carreira em segurança operacional (OpSec) são frequentes devido a um risco percebido menor. Outro fator significativo é a postura do governo russo, que muitas vezes co-opta ou ignora atividades cibercriminosas dentro de suas fronteiras, desde que não visem empresas ou cidadãos russos. Isso fornece um grau de isolamento da aplicação da lei estrangeira, incentivando uma abordagem menos rigorosa à OpSec, especialmente para aqueles que inicialmente pretendem aderir a essas regras não escritas. Por exemplo, postagens iniciais de **Hastalamuerte** de 2019-2020 revelam um hacker relativamente pouco sofisticado aprendendo o básico. Em junho de 2020, a conta do Telegram de **Hastalamuerte** ingressou em um programa de treinamento de vários meses (@pntst) para ferramentas de teste de penetração, com postagens francas mostrando dificuldades iniciais em dominar essas ferramentas.