Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
The Gentlemen, è un gruppo ransomware in forte crescita il quale sfrutta il modello RaaS fornendo una percentuale pari al 90% dei riscatti che finisce nelle tasche degli affiliati. Attivo dal 2025, ha già pubblicato 320 vittime e dispone di una botnet con 1.570 potenziali organizzazioni compromesse. Gli attacchi colpiscono infrastrutture con VPN e gateway esposti, e non ha problemi a colpire il settore sanitario. La rapidità operativa indicano una struttura criminale organizzata matura.
L’ascesa di The Gentlemen, un gruppo di ransomware che opera nelle underground criminali, è un fenomeno che risulta oggi molto interessante per gli addetti di Cyber Threat intelligence. I risultati di una ricerca di CheckPoint, dopo un intervento attivo di risposta agli incidenti e l’accesso a un server live controllato dagli attaccanti, rivela perché questa operazione si sta espandendo così rapidamente e cosa significa per i team di sicurezza aziendali.
La maggior parte dei gruppi di ransomware che emergono scompaiono nel giro di pochi mesi. The Gentlemen non sta però seguendo questo copione. Da quando è emerso a metà del 2025, il gruppo è cresciuto a un ritmo simile ai primi anni di LockBit 3, considerato il gold standard delle operazioni di ransomware.
Sul loro sito, dedicato alla divulgazione dei dati, 240 vittime sono apparse nei primi mesi del 2026. Tale cifra riflette solo le organizzazioni che si sono rifiutate di pagare. Il reale numero delle vittime è quasi certamente più alto. Per un’analisi completa, è disponibile il rapporto completo.
Per capire perché The Gentlemen stia attirando affiliati così rapidamente è necessario comprendere come funziona il modello di business del Ransomware-as-a-Service (RaaS): chi sviluppa e realizza il ransomware crea gli strumenti e l’infrastruttura mentre gli affiliati eseguono gli attacchi e condividono i proventi del riscatto con l’operatore.
The Gentlemen concede agli affiliati una quota del 90% su ogni riscatto pagato contro l’80% offerto dalla maggior parte dei programmi concorrenti. In un ecosistema criminale guidato da incentivi finanziari, quella differenza del 10% conta. Sta allontanando operatori esperti dai marchi affermati per attirarli nel programma di The Gentlemen, portando con sé le loro competenze, il loro accesso alle reti aziendali e la loro esperienza.
Il risultato è una rapida espansione. Il gruppo non sta crescendo perché ha inventato un nuovo attacco, ma perché il suo modello di business è più attraente e perché ha costruito un programma in grado di supportare una base di affiliati ampia e in espansione su ambienti Windows, Linux ed ESXi.
Gli attacchi di The Gentlemen sono in gran parte opportunistici piuttosto che mirati. Cercano organizzazioni con infrastrutture esposte e vulnerabili rivolte a Internet (si pensi a VPN, gateway di accesso remoto, portali di gestione dei firewall) e le utilizzano come punti di ingresso.
Le aziende manifatturiere e tecnologiche costituiscono la parte maggiore delle vittime, il che è coerente con il panorama più ampio del ransomware. Più degna di nota è la presenza del settore sanitario come terzo settore più frequentemente preso di mira. Alcuni gruppi di ransomware, per una questione di politica informale o di autoconservazione, evitano di attaccare gli ospedali. The Gentlemen invece non mostra alcun limite in questo senso.
Dal punto di vista geografico, gli Stati Uniti rappresentano il maggior numero di vittime, con il Regno Unito e la Germania anch’essi fortemente rappresentati. CPR ha confermato questo andamento dal sito di leak pubblico del gruppo e da dati telemetrici indipendenti ottenuti dal server di un aggressore affiliato.
Nel corso di un intervento di risposta agli incidenti, gli esperti hanno scoperto che un affiliato del gruppo The Gentlemen aveva implementato un’infrastruttura collegata a un’operazione di portata ben più ampia di quanto un singolo incidente potesse far supporre. Accedendo al server di comando e controllo in questione, il ricercatore è riuscito a individuare una botnet composta da oltre 1.570 potenziali vittime aziendali. Si trattava di organizzazioni i cui sistemi erano stati compromessi in modo silenzioso e che erano in attesa di ulteriori azioni.
Nell’incidente a cui ha risposto CPR, l’autore dell’attacco è arrivato con un accesso amministrativo a livello di dominio già stabilito. Da quel momento, l’intrusione si è intensificata rapidamente: convalida delle credenziali in tutto l’ambiente, movimento laterale verso decine di host, strumenti di sicurezza disabilitati e, infine, una distribuzione di ransomware a livello di dominio innescata tramite Criteri di gruppo, che ha colpito contemporaneamente ogni macchina connessa. La velocità e il coordinamento di questo attacco riflettono un gruppo che ha perfezionato il proprio playbook. Gli affiliati non stanno improvvisando; stanno eseguendo un processo documentato e testato, progettato per massimizzare l’impatto prima che i difensori possano reagire.
Gentlemen non sta sfruttando nuovi zero-day né aggirando la sicurezza con mezzi particolari. L’accesso iniziale si basa su dispositivi esposti a Internet non aggiornati o configurati in modo errato. Si tratta delle stesse vulnerabilità che da anni si consiglia ai difensori di considerare prioritarie.
Gli elementi fondamentali rimangono gli investimenti difensivi più importanti:
L’ascesa di The Gentlemen illustra una sfida strutturale nel panorama del ransomware: la barriera per avviare un’operazione RaaS professionale è diminuita notevolmente. Una ripartizione dei ricavi allettante, un locker efficiente e un sito di divulgazione sono sufficienti per attrarre affiliati che apportano il proprio accesso e la propria competenza. L’operazione non deve essere tecnicamente rivoluzionaria per causare danni su larga scala.
