Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il ransomware The Gentlemen, è stato visto sfruttare con costanza il bug di sicurezza CVE-2024-55591 che colpisce i dispositivi Fortinet, ottenendo accessi amministrativi e compromettendo massivamente migliaia di firewall. Il gruppo, utilizza le credenziali VPN rubate e tecniche già note per muoversi all'interno delle reti delle aziende, per disattivare le difese e quindi esfiltrare dati. La minaccia è rilevante, soprattutto perché dimostra come il modello del ransomware RaaS permetta ai criminali di riutilizzare strumenti esistenti per lanciare degli attacchi rapidi ed efficaci su larga scala.
In un contesto ormai dominato da moltissimi marchi di ransomware, il nuovo gruppo The Gentlemen è emerso dall’ombra non grazie a tattiche insolite, bensì attraverso una strategia di attacco brutale e altamente collaudata.
Un recente rapporto di Group-IB ha affermato che il team ha messo assieme una serie di strumenti, che sfruttano l’esperienza altrui, facendo affidamento ad uno sfruttamento di servizi esterni vulnerabili, password deboli e falle di sicurezza nelle reti aziendali.
Secondo gli autori di questo rapporto, il gruppo è nato da ArmCorp, un partner attivo del programma Qilin, ed è gestito da un gruppo di hacker criminali che si chiama “Hastalamuerte“.
Le prime tracce del loro ransomware sono state rilevate in data 17 luglio 2025, alcuni giorni prima di una forte disputa con gli operatori di Qilin sul forum underground RAMP.
Group-IB ritiene che la controversia (relativa alle quote di affiliazione non pagate) non sia stata la vera ragione della loro uscita dal gruppo, ma un comodo pretesto per lanciare un piano estorsivo indipendente.
La principale via di violazione è il bug CVE-2024-55591 in FortiOS e FortiProxy. Questa vulnerabilità consente loro di aggirare l’autenticazione e ottenere un accesso amministrativo sui dispositivi Fortinet. Dopo questa violazione, i membri del gruppo The Gentlemen creano degli account nascosti, caricano nuove configurazioni ed infine ottengono un punto d’appoggio tramite delle VPN tentando di sfruttare ulteriormente l’attacco all’interno della rete.
Secondo Group-IB, il gruppo ha accesso a un database di circa 14.700 FortiGate compromessi e a ulteriori 969 credenziali VPN altamente verificate, le quali sono state ottenute tramite attacchi di bruteforce per decifrare le password.
L’operazione quindi, segue uno schema ben collaudato ma estremamente pericoloso. Gli aggressori disabilitano le misure di sicurezza, anche attraverso driver firmati vulnerabili, cancellano i registri degli eventi, rubano dati tramite Rclone, mascherano gli strumenti come utilità legittime e si diffondono nel dominio tramite SMB, RDP, WMI e criteri di gruppo.
Il rapporto degli specialisti di sicurezza, menziona anche tentativi di sfruttamento dei firewall SonicWall, Cisco ASA e Oracle E-Business Suite, nonché di disassemblare i campioni dei ransomware Babuk, LockBit 5.0 , Medusa e Qilin per prelevare dei meccanismi efficaci per aggirare le misure di sicurezza, oltre a carpirne la crittografia.
Group-IB ha posto particolare enfasi sulla qualità e sulla preparazione del team The Gentlemen.
Il gruppo utilizza NetExec, PowerShell, script personalizzati per estrarre le credenziali, strumenti per lavorare con VMware e Veeam e servizi di intelligenza artificiale come ChatGPT, Gemini e Claude. Nell’autunno del 2025, gli operatori della cyber gang, avevano aggiunto versioni del ransomware che coprono i sistemi operativi quali Windows, Linux ed ESXi, oltre che ad un timer di ritardo all’avvio e una propagazione di rete più aggressiva.
Secondo Group-IB, il gruppo The Gentlemen ha preso di mira ad oggi circa 94 organizzazioni.
Gli analisti sottolineano che la minaccia non deriva dall’unicità del gruppo, bensì dal tipico modello di criminalità informatica adottato classico dei cartelli moderni RaaS, in cui i partecipanti migrano da un programma all’altro, condividono le migliori pratiche e assemblano rapidamente nuovi progetti ransomware utilizzando tecniche preesistenti.
