Volver al blog
12 de junio de 20268 min

The Gentlemen: ransomware con propagación tipo gusano y una nueva escala de amenaza

The Gentlemen: desenmascarando la evolución de la amenaza ransomware empresarial

El mundo de la ciberseguridad evoluciona constantemente, y con él lo hacen los adversarios. La aparición del ransomware "The Gentlemen", una operación sofisticada rastreada como Phantom Mantis, supone una escalada significativa en el panorama de amenazas. Este grupo ha acumulado rápidamente 478 víctimas, aprovechando tácticas avanzadas, inteligencia artificial para el desarrollo y capacidades de propagación tipo gusano. Para las organizaciones empresariales, comprender esta amenaza no es un ejercicio académico: es crítico para mantener la resiliencia operativa y la integridad de los datos. Coberturas como el informe de The Hacker News sobre The Gentlemen subrayan la urgencia para los equipos de seguridad.

De afiliado a autónomo: el ascenso de The Gentlemen

Inicialmente operaba como afiliado dentro de esquemas Ransomware-as-a-Service (RaaS) prominentes como LockBit, Qilin y Medusa. The Gentlemen pasó a un programa de asociación independiente en julio de 2025. Este cambio marca un movimiento estratégico hacia la autosuficiencia y un mayor control sobre sus operaciones. Liderado por el cibercriminal de habla rusa LARVA-368, el grupo ha demostrado un alto grado de adaptabilidad y destreza técnica.

Un aspecto especialmente preocupante, destacado por el análisis de PRODAFT, es la fuerte dependencia de LARVA-368 de la inteligencia artificial para el desarrollo y mantenimiento de su ransomware y herramientas asociadas, así como para procedimientos de post-explotación. Esta integración de IA permite un ciclo de desarrollo rápido, lo que posibilita adaptar y parchear el ransomware con agilidad, como se vio con un parche publicado el mismo día tras la divulgación de un descifrador.

El negocio de la extorsión: una operación altamente organizada

The Gentlemen opera con la sofisticación de una empresa criminal bien estructurada. La comunicación, el soporte técnico e incluso la resolución de disputas entre afiliados se gestionan mediante personas dedicadas y plataformas seguras como Tox, SimpleX Chat y Ricochet Refresh. Esta organización profesional se extiende a su reclutamiento de afiliados, donde los socios potenciales deben aportar al menos 1 GB de datos exfiltrados de una víctima: una táctica inteligente para filtrar afiliados y disuadir el acceso de las fuerzas del orden.

Su modelo de reparto de beneficios es agresivo, ofreciendo a los afiliados un 90 % de las ganancias, significativamente más atractivo que muchas otras operaciones RaaS. Esto incentiva una red más amplia de actores maliciosos y escala aún más la amenaza. El grupo también rastrea y explota activamente vulnerabilidades zero-day y n-day en software e infraestructura empresarial habitual, incluidos VMware Aria Operations, Fortinet, Cisco y productos de Microsoft, lo que demuestra una capacidad sofisticada de inteligencia de amenazas.

La ventaja técnica: propagación tipo gusano y ataques asistidos por IA

Lo que realmente distingue a The Gentlemen es su enfoque multifacético de compromiso y propagación:

  • Acceso inicial: El grupo obtiene acceso principalmente a través de servicios expuestos a Internet vulnerables o credenciales robadas. Los dispositivos perimetrales como appliances VPN, firewalls (Cisco, Fortinet FortiGate) y otros sistemas expuestos son objetivos prioritarios.
  • Herramientas avanzadas: Una vez dentro, emplean un kit completo para las distintas fases del ataque. Utilidades de red team como NetExec, RelayKing, TaskHound, PrivHound y CertiHound se usan para descubrimiento de Active Directory, abuso de certificados, escalada de privilegios y descubrimiento de recursos compartidos. Herramientas personalizadas como EDRStartupHinder y gfreeze se despliegan para evadir programas de seguridad, mientras Velociraptor facilita el comando y control (C2).
  • Propagación tipo gusano: El seguimiento de Microsoft de este clúster, denominado Storm-2697, revela una capacidad crítica: cuando se activa con el argumento --spread, el ransomware The Gentlemen deja de ser un cifrador de un solo host y se convierte en un gusano autopropagable. Esto le permite intentar desplegarse en todos los sistemas alcanzables de la red, aumentando drásticamente el alcance e impacto del ataque.
  • Borrado de datos y cifrado híbrido: Más allá del cifrado, el ransomware puede ejecutar rutinas post-cifrado para eliminar artefactos recuperables del disco mediante el argumento --wipe. Emplea un esquema criptográfico híbrido robusto (intercambio de claves X25519 con cifrado simétrico XChaCha20), lo que hace prácticamente imposible el descifrado sin la clave.
  • Extorsión multicanal: ZeroFox informa que The Gentlemen combina ataques de ransomware con contacto por correo electrónico y presión telefónica, lo que evidencia una estrategia de extorsión integral y agresiva.

Riesgos empresariales e implicaciones para la empresa

Las implicaciones de las capacidades de The Gentlemen para las empresas son profundas:

  • Mayor superficie de ataque: El foco en dispositivos perimetrales habituales y servicios expuestos a Internet significa que prácticamente cualquier organización con presencia digital es un objetivo potencial.
  • Contaminación rápida: La capacidad de propagación tipo gusano reduce drásticamente el tiempo hasta el compromiso total de la red, dejando insuficiente una respuesta a incidentes tradicional y reactiva.
  • Evasión sofisticada: Las técnicas avanzadas de evasión dificultan la detección y contención, tensionando los controles de seguridad existentes.
  • Pérdida significativa de datos y tiempo de inactividad: La combinación de cifrado fuerte y posible borrado de datos provoca graves interrupciones operativas y pérdidas financieras.
  • Daño reputacional y multas regulatorias: Las brechas de datos y las interrupciones prolongadas pueden dañar gravemente la reputación y acarrear sanciones regulatorias sustanciales.
  • Riesgo en la cadena de suministro: Como operación RaaS, sus afiliados pueden atacar a cualquier organización, incluidas las de su cadena de suministro, generando efectos en cascada.

Defensa proactiva: estrategias para mitigar The Gentlemen

Las empresas deben adoptar una estrategia de ciberseguridad proactiva y multicapa para defenderse de amenazas como The Gentlemen. Confiar únicamente en defensas perimetrales ya no es suficiente.

Recomendaciones clave:

  1. Gestión de parches y vulnerabilidades robusta: Actualice y parchee regularmente todo el software, los sistemas operativos y los dispositivos de red, especialmente los expuestos a Internet. Implemente un programa riguroso de gestión de vulnerabilidades para identificar y remediar debilidades antes de que los adversarios las exploten. Preste especial atención a vulnerabilidades reportadas en productos Fortinet, Cisco, VMware y Microsoft.
  2. Segmentación de red: Implemente una segmentación estricta para limitar el movimiento lateral del ransomware. Aislando activos críticos y diseñando zonas de red con el mínimo acceso necesario, el impacto de una brecha puede contenerse. Aplique principios de Zero Trust Network Access (ZTNA) siempre que sea posible.
  3. EDR / XDR: Despliegue soluciones avanzadas de detección y respuesta en endpoints (EDR) o extendida (XDR) capaces de detectar y responder a tácticas sofisticadas, incluidas herramientas personalizadas y técnicas de evasión. Asegúrese de que estas soluciones se monitoricen de forma continua y se mantengan actualizadas.
  4. Fortalecer IAM: Imponga contraseñas fuertes y únicas y autenticación multifactor (MFA) en todas las cuentas, en particular las administrativas y privilegiadas. Revise periódicamente los derechos de acceso y aplique el principio de mínimo privilegio.
  5. Estrategia integral de backup y recuperación: Implemente la estrategia 3-2-1: al menos tres copias de los datos, en dos medios distintos, con una copia fuera del sitio y desconectada. Pruebe regularmente los procedimientos de restauración. Asegúrese de que las copias estén aisladas e inmutables para evitar que el ransomware las cifre o elimine.
  6. Formación en concienciación de seguridad: Forme a los empleados sobre phishing, ingeniería social y la importancia de reportar actividades sospechosas.
  7. Monitorización continua y threat hunting: Implemente monitorización de seguridad 24/7 mediante SIEM y realice caza proactiva de amenazas para identificar señales tempranas de compromiso.
  8. Plan de respuesta a incidentes: Desarrolle, pruebe y actualice regularmente un plan integral que defina roles, responsabilidades, protocolos de comunicación y pasos de contención, erradicación y recuperación.

Resiliencia con ITCS VIP

La complejidad y la evolución de amenazas como The Gentlemen subrayan la necesidad de experiencia especializada. En ITCS VIP entendemos que la ciberseguridad empresarial no es solo tecnología: es estrategia, personas y procesos.

Nuestros servicios profesionales abordan los desafíos específicos de los grupos de ransomware modernos:

  • Managed Detection and Response (MDR): Monitorización proactiva 24/7/365, threat hunting y respuesta rápida a incidentes, con tecnologías EDR/XDR avanzadas para detectar y neutralizar amenazas como The Gentlemen, incluidas las que aprovechan metodologías de ataque impulsadas por IA.
  • Arquitectura de seguridad de red y segmentación: Diseño e implementación de estrategias de segmentación robustas, incluidos marcos Zero Trust, para limitar el movimiento lateral y mitigar el impacto de la propagación tipo gusano.
  • Cloud Security Posture Management (CSPM): Identificación y remediación de configuraciones erróneas y vulnerabilidades en entornos cloud.
  • Gestión de vulnerabilidades y pruebas de penetración: Evaluaciones exhaustivas para identificar debilidades y parchear proactivamente vulnerabilidades críticas usadas para el acceso inicial.
  • Consultoría en ciberseguridad y planificación de respuesta a incidentes: Desarrollo y refinamiento de planes de respuesta para gestionar y recuperarse de ataques sofisticados.
  • Backup seguro y recuperación ante desastres: Soluciones air-gapped e inmutables que garantizan la recuperabilidad de los datos tras los incidentes más graves.

Al asociarse con ITCS VIP, las empresas pueden reforzar sus defensas, reducir la superficie de ataque y mejorar su resiliencia frente a tácticas cada vez más sofisticadas. No espere a sufrir una brecha para actuar.

Conclusión

The Gentlemen representa una evolución formidable de la ciberextorsión, combinando desarrollo impulsado por IA, propagación tipo gusano y un modelo RaaS altamente organizado. Su rápido número de víctimas y su cadena de ataque sofisticada recuerdan que las defensas estáticas son insuficientes. Las empresas deben adoptar un enfoque dinámico, proactivo y en capas, adaptando continuamente sus defensas para adelantarse a adversarios cada vez más inteligentes. Priorizar buenas prácticas de ciberseguridad y alianzas estratégicas ya no es opcional: es una necesidad para sobrevivir en la era digital.