Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Una vista in prima persona che mostra due mani che tengono un tablet con lo schermo rivolto verso l'alto. Sullo schermo del tablet c'è un logo stilizzato di un uomo in frac e cappello a cilindro, sotto il quale si legge la scritta "THE GENTLEMEN". Lo schermo ha un effetto sgranato, simile a quello di un vecchio televisore, e il logo sembra scomporsi in diverse linee orizzontali colorate. Lo sfondo è un paesaggio urbano notturno sfocato, con luci che si riflettono sull'acqua.

Gentlemen Ransom Group aggiorna il proprio toolkit di cifratura

7 Luglio 2026 06:34
In sintesi

La cyber gang "The Gentlemen" Ransom Group ha aggiornato il proprio toolkit con una nuova backdoor Go e un ransomware per Windows. Questo gruppo di hacker utilizza il modello RaaS e prende di mira grandi aziende e infrastrutture critiche in tutto il mondo, con attacchi registrati principalmente in Brasile, Cina, Indonesia, Tailandia e Taiwan.

Gli esperti di Kaspersky Lab hanno studiato i recenti attacchi del gruppo The Gentlemen e hanno scoperto nell’arsenale degli hacker una backdoor Go precedentemente sconosciuta, nonché un nuovo ransomware per Windows, scritto in C. A giudicare dalle funzioni incomplete, gli aggressori stanno ancora testando il malware Windows su un numero limitato di vittime.

I ricercatori scrivono che il gruppo di hacker Gentlemen ha iniziato a crescere solo all’inizio del 2026. Nella prima metà dell’anno, il gruppo è diventato uno dei dieci maggiori operatori di ransomware, a giudicare dal numero di vittime elencate sul sito di fuga di dati. Di norma, Gentlemen prende di mira le grandi aziende e le infrastrutture critiche in tutto il mondo. Tra le vittime del gruppo ci sono imprese manifatturiere e di costruzione, aziende informatiche, organizzazioni finanziarie e mediche, nonché operatori logistici. Il maggior numero di attacchi è stato registrato in Brasile, Cina, Indonesia, Tailandia e Taiwan.

Per ottenere l’accesso iniziale, gli hacker attaccano servizi Internet vulnerabili, gateway VPN e firewall e utilizzano credenziali rubate, deboli o predefinite.

Advertising

I ricercatori ammettono che il gruppo collabora con broker di accesso (initial access broker o IaB), poiché in alcuni incidenti la compromissione è avvenuta molto prima del lancio del ransomware utilizzando metodi atipici per i The Gentlemen.

Dopo essere penetrati nella rete della vittima, gli hacker la studiano attentamente utilizzando SharpADWS, NetScan, Advanced IP Scanner e l’utilità netsh standard. Quest’ultimo viene utilizzato per intercettare il traffico che potrebbe contenere dati e password non crittografati. Per lo spostamento laterale, il gruppo utilizza PsExec e criteri di gruppo: il ransomware viene copiato nella directory NETLOGON e quindi lanciato contemporaneamente su più computer nel dominio.

Il giorno prima che i file vengano crittografati, gli aggressori implementano la propria backdoor Go sui sistemi delle vittime. Raccoglie dati come nome host, dominio, UUID e indirizzi IP locali, stabilisce una connessione persistente con il server di gestione, esegue comandi dell’operatore e genera anche proxy SOCKS. Ciò consente agli aggressori di continuare la ricognizione e spostarsi all’interno della rete compromessa.

Secondo gli esperti, il principale payload di cifratura utilizzato dal gruppo è un malware Go multipiattaforma che utilizza Curve25519 e XChaCha20. Per proteggersi dall’analisi automatica, il file binario richiede una password e, prima della crittografia, il malware può arrestare le macchine virtuali Hyper-V (per liberare i file del disco virtuale e quindi crittografarli), terminare processi e servizi che potrebbero bloccare l’accesso ai file e quindi eliminare le copie shadow e i registri eventi.

Inoltre, prima di lanciare il ransomware, gli aggressori tentano di disabilitare le soluzioni di sicurezza utilizzando la tecnica BYOVD, utilizzando driver ovviamente vulnerabili, modificando anche il registro e utilizzando i comandi di PowerShell.

Advertising

La nuova variante Windows del malware, scritta in C, è stata finora riscontrata solo in pochi attacchi. I ricercatori scrivono che alcuni dei suoi parametri non sono stati ancora completamente implementati e gli elenchi delle eccezioni sono notevolmente più brevi di quelli della versione Go. Utilizza AES-256-GCM e RSA per la crittografia e, invece di Tox, il ransomware offre alle vittime di essere contattati tramite e-mail. I ricercatori ritengono che i membri di The Gentlemen stiano ancora testando la nuova build su reti reali, ma col tempo potrebbe trasformarsi in uno strumento più stabile e scalabile.

“Nonostante il gruppo The Gentlemen sia apparso di recente, sta rapidamente guadagnando reputazione tra i criminali informatici, attirando partner e sferrando attacchi di alto profilo. Il test di nuove varianti di ransomware scritte in linguaggio C indica che gli aggressori stanno attivamente migliorando le loro capacità. Nel prossimo futuro, ciò potrebbe portare alla nascita di catene di attacco più stabili e scalabili”, commenta Sergey Lozhkin, responsabile di Kaspersky GReAT in Asia, Africa e Medio Oriente


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response