Tornar al blog
12 de juny del 20267 min de lectura

The Gentlemen: ransomware amb propagació tipus gusà i un nou nivell d'amença

The Gentlemen: desemmascarar l'evolució de l'amença ransomware empresarial

El món de la ciberseguretat evoluciona constantment, i amb ell ho fan els adversaris. L'aparició del ransomware "The Gentlemen", una operació sofisticada rastrejada com a Phantom Mantis, suposa una escalada significativa en el panorama d'amenaces. Aquest grup ha acumulat ràpidament 478 víctimes, aprofitant tàctiques avançades, intel·ligència artificial per al desenvolupament i capacitats de propagació tipus gusà. Per a les organitzacions empresarials, comprendre aquesta amenaça no és un exercici acadèmic: és crític per mantenir la resiliència operativa i la integritat de les dades. Cobertures com l'informe de The Hacker News sobre The Gentlemen subratllen la urgència per als equips de seguretat.

D'afiliat a autònom: l'ascens de The Gentlemen

Inicialment operava com a afiliat dins d'esquemes Ransomware-as-a-Service (RaaS) prominents com LockBit, Qilin i Medusa. The Gentlemen va passar a un programa d'associació independent el juliol de 2025. Aquest canvi marca un moviment estratègic cap a l'autosuficiència i un major control sobre les seves operacions. Liderat pel cibercriminal de parla russa LARVA-368, el grup ha demostrat un alt grau d'adaptabilitat i destresa tècnica.

Un aspecte especialment preocupant, destacat per l'anàlisi de PRODAFT, és la forta dependència de LARVA-368 de la intel·ligència artificial per al desenvolupament i manteniment del seu ransomware i eines associades, així com per a procediments de post-explotació. Aquesta integració d'IA permet un cicle de desenvolupament ràpid, cosa que possibilita adaptar i parxar el ransomware amb agilitat, com es va veure amb un parxat publicat el mateix dia després de la divulgació d'un desxifrador.

El negoci de l'extorsió: una operació altament organitzada

The Gentlemen opera amb la sofisticació d'una empresa criminal ben estructurada. La comunicació, el suport tècnic i fins i tot la resolució de disputes entre afiliats es gestionen mitjançant persones dedicades i plataformes segures com Tox, SimpleX Chat i Ricochet Refresh. Aquesta organització professional s'estén al seu reclutament d'afiliats, on els socis potencials han d'aportar almenys 1 GB de dades exfiltrades d'una víctima: una tàctica intel·ligent per filtrar afiliats i dissuadir l'accés de les forces de l'ordre.

El seu model de repartiment de beneficis és agressiu, oferint als afiliats un 90 % de les ganàncies, molt més atractiu que moltes altres operacions RaaS. Això incentiva una xarxa més àmplia d'actors maliciosos i escala encara més l'amença. El grup també rastreja i explota activament vulnerabilitats zero-day i n-day en programari i infraestructura empresarial habitual, inclosos VMware Aria Operations, Fortinet, Cisco i productes de Microsoft, cosa que demostra una capacitat sofisticada d'intel·ligència d'amenaces.

La ventatge tècnica: propagació tipus gusà i atacs assistits per IA

El que realment distingeix The Gentlemen és el seu enfocament multifacètic de compromís i propagació:

  • Accés inicial: El grup obté accés principalment a través de serveis exposats a Internet vulnerables o credencials robades. Els dispositius perimetrals com appliances VPN, firewalls (Cisco, Fortinet FortiGate) i altres sistemes exposats són objectius prioritaris.
  • Eines avançades: Un cop dins, empren un kit complet per a les diferents fases de l'atac. Utilitats de red team com NetExec, RelayKing, TaskHound, PrivHound i CertiHound s'usen per al descobriment d'Active Directory, abús de certificats, escalada de privilegis i descobriment de recursos compartits. Eines personalitzades com EDRStartupHinder i gfreeze es despleguen per evadir programes de seguretat, mentre Velociraptor facilita el comandament i control (C2).
  • Propagació tipus gusà: El seguiment de Microsoft d'aquest clúster, anomenat Storm-2697, revela una capacitat crítica: quan s'activa amb l'argument --spread, el ransomware The Gentlemen deixa de ser un xifrador d'un sol host i es converteix en un gusà autopropagable. Això li permet intentar desplegar-se a tots els sistemes assolibles de la xarxa, augmentant dràsticament l'abast i l'impacte de l'atac.
  • Esborrat de dades i xifrat híbrid: Més enllà del xifrat, el ransomware pot executar rutines post-xifrat per eliminar artefactes recuperables del disc mitjançant l'argument --wipe. Empra un esquema criptogràfic híbrid robust (intercanvi de claus X25519 amb xifrat simètric XChaCha20), cosa que fa pràcticament impossible el desxifrat sense la clau.
  • Extorsió multicanal: ZeroFox informa que The Gentlemen combina atacs de ransomware amb contacte per correu electrònic i pressió telefònica, cosa que evidencia una estratègia d'extorsió integral i agressiva.

Riscos empresarials i implicacions per a l'empresa

Les implicacions de les capacitats de The Gentlemen per a les empreses són profundes:

  • Major superfície d'atac: El focus en dispositius perimetrals habituals i serveis exposats a Internet significa que pràcticament qualsevol organització amb presència digital és un objectiu potencial.
  • Contaminació ràpida: La capacitat de propagació tipus gusà redueix dràsticament el temps fins al compromís total de la xarxa, deixant insuficient una resposta a incidents tradicional i reactiva.
  • Evasió sofisticada: Les tècniques avançades d'evasió dificulten la detecció i contenció, tensionant els controls de seguretat existents.
  • Pèrdua significativa de dades i temps d'inactivitat: La combinació de xifrat fort i possible esborrat de dades provoca greus interrupcions operatives i pèrdues financeres.
  • Dany reputacional i multes regulatòries: Les bretxes de dades i les interrupcions prolongades poden danyar greument la reputació i comportar sancions regulatòries substancials.
  • Risc en la cadena de subministrament: Com a operació RaaS, els seus afiliats poden atacar qualsevol organització, incloses les de la vostra cadena de subministrament, generant efectes en cascada.

Defensa proactiva: estratègies per mitigar The Gentlemen

Les empreses han d'adoptar una estratègia de ciberseguretat proactiva i multicapa per defensar-se d'amenaces com The Gentlemen. Confiar únicament en defenses perimetrals ja no és suficient.

Recomanacions clau:

  1. Gestió de parxos i vulnerabilitats robusta: Actualitzeu i parxeu regularment tot el programari, els sistemes operatius i els dispositius de xarxa, especialment els exposats a Internet. Implementeu un programa rigorós de gestió de vulnerabilitats. Presteu especial atenció a vulnerabilitats reportades en productes Fortinet, Cisco, VMware i Microsoft.
  2. Segmentació de xarxa: Implementeu una segmentació estricta per limitar el moviment lateral del ransomware. Aplicant principis de Zero Trust Network Access (ZTNA) sempre que sigui possible.
  3. EDR / XDR: Desplegueu solucions avançades de detecció i resposta en endpoints (EDR) o estesa (XDR) capaces de detectar i respondre a tàctiques sofisticades.
  4. Reforçar IAM: Imposeu contrasenyes fortes i úniques i autenticació multifactor (MFA), especialment en comptes administratius i privilegiats.
  5. Estratègia integral de backup i recuperació: Implementeu l'estratègia 3-2-1 amb còpies aïllades i immutables.
  6. Formació en conscienciació de seguretat: Formeu els empleats sobre phishing, enginyeria social i la importància de reportar activitats sospitoses.
  7. Monitorització contínua i threat hunting: Monitorització de seguretat 24/7 mitjançant SIEM i caça proactiva d'amenaces.
  8. Pla de resposta a incidents: Desenvolupeu, proveu i actualitzeu regularment un pla integral de contenció, erradicació i recuperació.

Resiliència amb ITCS VIP

La complexitat i l'evolució d'amenaces com The Gentlemen subratllen la necessitat d'experiència especialitzada. A ITCS VIP entenem que la ciberseguretat empresarial no és només tecnologia: és estratègia, persones i processos.

Els nostres serveis professionals aborden els desafiaments específics dels grups de ransomware moderns:

  • Managed Detection and Response (MDR): Monitorització proactiva 24/7/365, threat hunting i resposta ràpida a incidents amb tecnologies EDR/XDR avançades.
  • Arquitectura de seguretat de xarxa i segmentació: Disseny i implementació de segmentació robusta, inclosos marcs Zero Trust, per limitar el moviment lateral i mitigar la propagació tipus gusà.
  • Cloud Security Posture Management (CSPM): Identificació i remediació de configuracions errònies i vulnerabilitats en entorns cloud.
  • Gestió de vulnerabilitats i proves de penetració: Avaluacions exhaustives per identificar debilitats i parxar proactivament vulnerabilitats crítiques.
  • Consultoria en ciberseguretat i planificació de resposta a incidents: Desenvolupament i refinament de plans de resposta.
  • Backup segur i recuperació davant desastres: Solucions air-gapped i immutables que garanteixen la recuperabilitat de les dades.

En associar-vos amb ITCS VIP, les empreses poden reforçar les seves defenses, reduir la superfície d'atac i millorar la resiliència. No espereu a patir una bretxa per actuar.

Conclusió

The Gentlemen representa una evolució formidable de la ciberextorsió, combinant desenvolupament impulsat per IA, propagació tipus gusà i un model RaaS altament organitzat. El seu ràpid nombre de víctimes i la seva cadena d'atac sofisticada recorden que les defenses estàtiques són insuficients. Les empreses han d'adoptar un enfocament dinàmic, proactiu i en capes, adaptant contínuament les seves defenses per avançar-se a adversaris cada cop més intel·ligents.