Un nuovo gruppo ransomware noto come The Gentlemen sfrutta driver legittimi, policy e tecniche evolute per penetrare le reti, aggirare le difese e colpire settori critici a livello globale.
Autore: Redazione SecurityOpenLab
Si chiama The Gentlemen il gruppo ransomware rilevato dai ricercatori di Trend Micro che ha già mietuto vittime in 17 paesi con tecniche avanzate che combinano l'abuso di driver legittimi per eludere le difese, la manipolazione dei Criteri di gruppo per facilitare la compromissione a livello di dominio e l’impiego di funzioni AV progettate per disabilitare le soluzioni di sicurezza presenti negli ambienti mirati. I settori bersagliati sono manifatturiero, edile, sanitario e assicurativo.
Ad agosto 2025 è stata identificata una nuova campagna ransomware orchestrata da The Gentlemen che ha messo in luce alcune pratiche operative del gruppo, come per esempio l'uso di canali crittografati per l'esfiltrazione dei dati tramite WinSCP e la creazione di meccanismi di persistenza ridondanti tramite il software di accesso remoto AnyDesk e la modifica delle impostazioni di registro.
L’interesse per lo studio di questo gruppo ransomware è dovuto non solo al numero di vittime messe a segno in poco tempo, ma anche al fatto che le sue tattiche rappresentano un'evoluzione nelle operazioni ransomware. Al contrario degli attacchi sbrigativi a cui siamo abituati, in questo caso gli attaccanti conducono una ricognizione approfondita prima di attaccare, per studiare tecniche su misura per bypassare le difese di ciascun obiettivo specifico. L’alto numero di vittime e la mancanza di informazioni storiche sul gruppo portano gli analisti a pensare che The Gentlemen sia un rebranding di operatori esperti, oppure un nuovo gruppo ben finanziato.
Le prove collezionate da Trend Micro indicano la possibile compromissione degli account amministrativi di FortiGate, con scansioni di rete originate da contesti privilegiati. Questo suggerisce che gli attaccanti abbiano compromesso l'infrastruttura a protezione della rete per ottenere visibilità e controllo sul traffico di rete. Indagini successive hanno poi confermato che il server FortiGate era direttamente accessibile da Interne, e probabilmente ha agito da punto di ingresso in rete per gli attaccanti.
Una volta sbrigato questo passaggio, gli attaccanti hanno attuato una ricognizione dettagliata dei meccanismi di protezione degli endpoint, per identificare i controlli di sicurezza specifici e attuare risposte su misura per metterli fuori gioco. In questa fase gli attaccanti sono stati osservati mentre esaminavano la strutture di Active Directory e si concentravano sugli amministratori di dominio, sugli amministratori aziendali e sui gruppi con privilegi. Questa fase ha dimostrato un'ampia conoscenza degli ambienti sia fisici che virtualizzati e una notevole preparazione tecnica.
I cyber criminali hanno sfruttato strumenti legittimi come PsExec per attuare i movimenti laterali, aggirando abilmente i controlli di sicurezza e modificando le impostazioni del registro a cui fanno capo l'autenticazione e i protocolli di accesso remoto. Per mantenere l'accesso persistente di comando e controllo, si sono affidati a AnyDesk, un grande classico che spesso è anche usato come strumento di assistenza e manutenzione dagli amministratori di rete. Gli attaccanti hanno inoltre scaricato, installato ed eseguito strumenti di mappatura della rete per attuare una scansione completa della rete interna e apprenderne l’architettura.
Il ransomware è stato infine distribuito in tutta la condivisione NETLOGON del dominio, in modo da ottenere una distribuzione capillare in tutti i sistemi parte del dominio. Il payload era protetto da password, probabilmente per eludere l'analisi della sandbox automatizzata. Prima della cifratura sono state svolte due attività: è stato neutralizzato Windows Defender tramite comandi PowerShell e sono state modificate le regole del firewall per garantire l'accesso permanente durante la negoziazione.
Ci sono molti motivi per i quali il modus operandi di The Gentlemen preoccupa, primo fra tutti la preparazione tecnica degli attaccanti, lo studio per adattarsi all’ambiente target e abusare metodicamente di tutti i suoi componenti legittimi e vulnerabili per raggiungere il proprio scopo. Come difendersi da una minaccia simile? Concentrandosi sulla ricerca proattiva delle minacce, rafforzando delle protezioni degli endpoint e della rete e perfezionando di continuo le strategie di risposta agli incidenti. Particolare attenzione è da ricercare al monitoraggio delle attività amministrative anomale, all'abuso di strumenti legittimi e a qualsiasi segnale che possa indicare un tentativo di elusione della difesa.