Oltre 320 vittime in pochi mesi, una botnet di 1.570 aziende compromesse e un modello di business che attrae affiliati esperti. Ecco come opera The Gentlemen.
Autore: Redazione SecurityOpenLab
Il secondo gruppo ransomware più attivo del 2026 ha colpito 240 organizzazioni nei soli primi mesi dell'anno si chiama The Gentlemen. Opera secondo il modello Ransomware-as-a-Service, è emerso nella seconda metà del 2025 e ha registrato una crescita paragonabile a quella dei primi anni di LockBit 3: ha già pubblicato oltre 320 vittime sul proprio sito di leak. Uno studio di Check Point Research aggiunge un dato significativo: la scoperta di una botnet di oltre 1.570 probabili vittime aziendali compromesse, in attesa di ulteriori azioni.
Il motivo di tanto successo è prima di tutto nel guadagno riconosciuto agli affiliati. Nel modello RaaS tradizionale, la ripartizione dei guadagni fra sviluppatori e affiliati è pari a 80/20 a favore degli affiliati. The Gentlemen offre 90/10, che è una differenza piccola, ma sufficiente per attirare operatori esperti, che portano con sé un patrimonio già consolidato di accesso a reti aziendali, playbook collaudati, competenze specifiche.
Alla parte economica si affianca anche un'offerta tecnica altrettanto curata. La piattaforma mette a disposizione gli strumenti per attaccare diversi sistemi operativi (Windows, Linux, NAS e BSD, inclusi gli ambienti ESXi). Gli affiliati verificati hanno inoltre a disposizione strumenti per la neutralizzazione degli EDR e un'infrastruttura proprietaria per ostacolare il tracciamento della sorgente del traffico malevolo. Il gruppo gestisce un sito Onion per la pubblicazione dei dati sottratti alle vittime che rifiutano di pagare, però le trattative avvengono attraverso un protocollo di messaggistica peer-to-peer con cifratura end-to-end che rende le comunicazioni difficilmente tracciabili. Il gruppo mantiene anche un account X/Twitter in cui pubblica informazioni sulle vittime per aumentare la pressione al pagamento.
Gli attacchi di The Gentlemen sono in larga misura opportunistici. Il punto di ingresso preferenziale è rappresentato dall'infrastruttura esposta a Internet, come per esempio VPN, gateway di accesso remoto, portali di gestione dei firewall. Una volta ottenuto l'accesso iniziale, la progressione dell'attacco è rapida e strutturata. L’indagine di IR condotta da Check Point rivela che nel momento in cui gli investigatori sono riusciti a ricostruire l'attività degli attaccanti, questi erano già presenti su un Domain Controller con privilegi di Domain Admin. Da quella posizione hanno condotto una validazione sistematica delle credenziali sull'intero ambiente, seguita da una sequenza di logon falliti e poi riusciti su host multipli.
La distribuzione dei payload Cobalt Strike è avvenuta sfruttando cartelle condivise accessibili di default solo a chi ha privilegi di amministratore di dominio. L'attaccante vi ha scritto gli eseguibili malevoli e li ha avviati da remoto tramite RPC, il meccanismo nativo di Windows per l'esecuzione di operazioni su altri sistemi in rete.. Le attività di ricognizione iniziali si sono sovrapposte temporalmente all'espansione laterale.
Il tentativo di installare SystemBC (un proxy malware che stabilisce tunnel SOCKS5 nella rete della vittima e comunica con il server C&C tramite un protocollo cifrato RC4) è stato bloccato dalla protezione endpoint. Ma gli attaccanti non i sono persi d’animo: hanno abilitato il Remote Desktop via registro e firewall e hanno installato AnyDesk con password predefinita per garantirsi un canale di accesso alternativo. La resilienza operativa è parte del loro modus operandi.
Le fasi successive hanno incluso la disattivazione di Windows Defender, il dumping delle credenziali, l'enumerazione delle trust di dominio e dei gruppi privilegiati. La distribuzione del ransomware è avvenuta tramite Group Policy Object (GPO), configurato in modo che venisse eseguito su tutti i sistemi in maniera quasi simultanea.
Il locker di The Gentlemen è scritto in linguaggio di programmazione Go ed è in sviluppo attivo. La gamma di opzioni disponibili riflette un prodotto pensato per casi d'uso operativi diversi: cifratura solo dei drive locali, solo delle share di rete o entrambe in sequenza; modalità silenziosa che non rinomina i file e non modifica il wallpaper; opzione wipe per sovrascrivere lo spazio libero dopo la cifratura; parametri di velocità che cifrano solo una percentuale predefinita del contenuto dei file, sufficienti a renderli inutilizzabili ma molto più rapidi di una cifratura completa.
Ci sono due opzioni che meritano attenzione particolare. Spread consente il movimento laterale autonomo verso ogni host raggiungibile, deposita il binario sulle share amministrative, crea scheduled task e servizi remoti, disabilita Windows Defender sull'host remoto prima di avviare la cifratura. Gpo invece distribuisce il payload via GPO a tutti i computer del dominio ed esegue la cifratura durante il policy refreshm che è la tecnica osservata nell'incidente studiato da Check Point.
Prima di cifrare, il ransomware termina le istanze SQL Server, MySQL, PostgreSQL, Oracle; disattiva i prodotti di backup e recovery (Acronis, Veeam, Datto, Commvault, BackupExec, Macrium, StorageCraft), le applicazioni VMware ed Exchange, la suite Office; client di posta. La logica è quella di neutralizzare gli strumenti che potrebbero consentire un ripristino rapido.
Manifatturiero e tecnologico sono i settori più colpiti da The Gentlemen, in linea con le tendenze generali del ransomware. AL contrario di alcuni gruppi, questo gruppo non mostra alcune cautela per il settore sanitario, che è al terzo posto delle vittime che colpisce maggiormente. Dal punto di vista geografico, gli Stati Uniti registrano il maggior numero di vittime, seguiti dal Regno Unito e dalla Germania. La distribuzione è confermata sia dal sito di leak pubblico del gruppo sia dalla telemetria raccolta dal server dell'affiliato.
Il fatto che The Gentlemen non sfrutti zero-day inediti né tecniche di evasione particolarmente innovative, unito alla velocità di esecuzione post-compromissione, è una chiara indicazione delle priorità difensive. Il patching dell'infrastruttura esposta a Internet (VPN, firewall, gateway di accesso remoto) dev’essere trattato con la stessa urgenza riservata alle applicazioni web pubbliche. L'autenticazione a più fattori e i controlli degli accessi privilegiati sono imprescindibili, dato che gli affiliati di The Gentlemen passano rapidamente dall'accesso iniziale al controllo a livello di dominio. La verifica della capacità di backup e ripristino rimane lo strumento più efficace per limitare l'impatto; molte organizzazioni ne scoprono l'inadeguatezza solo durante l'incidente. Il rilevamento nella fase di movimento laterale offre la migliore finestra temporale per interrompere un attacco in corso e la segmentazione della rete limita sia la portata dell'attaccante sia il raggio d'azione di un'intrusione già riuscita.