Torna al blog
12 giugno 20266 min di lettura

The Gentlemen: ransomware con propagazione tipo verme e un nuovo livello di minaccia

The Gentlemen: smascherare l'evoluzione della minaccia ransomware aziendale

Il mondo della cybersecurity evolve costantemente, e con esso gli avversari. L'emergere del ransomware "The Gentlemen", un'operazione sofisticata tracciata come Phantom Mantis, segnala un'escalation significativa nel panorama delle minacce. Questo gruppo ha rapidamente accumulato 478 vittime, sfruttando tattiche avanzate, intelligenza artificiale per lo sviluppo e capacità di propagazione tipo verme. Per le organizzazioni aziendali, comprendere questa minaccia non è un esercizio accademico: è critico per mantenere la resilienza operativa e l'integrità dei dati. Coperture come il report di The Hacker News su The Gentlemen sottolineano l'urgenza per i team di sicurezza.

Da affiliato ad autonomo: l'ascesa di The Gentlemen

Inizialmente operava come affiliato all'interno di schemi Ransomware-as-a-Service (RaaS) prominenti come LockBit, Qilin e Medusa. The Gentlemen è passato a un programma di partnership indipendente nel luglio 2025. Questo cambiamento segna un movimento strategico verso l'autosufficienza e un maggiore controllo sulle operazioni. Guidato dal cybercriminale di lingua russa LARVA-368, il gruppo ha dimostrato un alto grado di adattabilità e competenza tecnica.

Un aspetto particolarmente preoccupante, evidenziato dall'analisi di PRODAFT, è la forte dipendenza di LARVA-368 dall'intelligenza artificiale per lo sviluppo e la manutenzione del ransomware e degli strumenti associati, nonché per le procedure di post-exploitazione. Questa integrazione dell'IA consente un ciclo di sviluppo rapido, permettendo al gruppo di adattare e correggere rapidamente il ransomware, come dimostrato da una patch pubblicata lo stesso giorno dopo la divulgazione di un decifratore.

Il business dell'estorsione: un'operazione altamente organizzata

The Gentlemen opera con la sofisticazione di un'impresa criminale ben strutturata. Comunicazione, supporto tecnico e persino la risoluzione delle dispute tra affiliati sono gestiti tramite personaggi dedicati e piattaforme sicure come Tox, SimpleX Chat e Ricochet Refresh. Questa organizzazione professionale si estende al reclutamento di affiliati, dove i partner potenziali devono fornire almeno 1 GB di dati esfiltrati da una vittima: una tattica intelligente per selezionare gli affiliati e scoraggiare l'accesso delle forze dell'ordine.

Il loro modello di condivisione dei profitti è aggressivo, offrendo agli affiliati il 90% dei guadagni, significativamente più attraente di molte altre operazioni RaaS. Ciò incentiva una rete più ampia di attori malevoli e intensifica ulteriormente la minaccia. Il gruppo traccia e sfrutta attivamente vulnerabilità zero-day e n-day in software e infrastrutture aziendali comuni, inclusi VMware Aria Operations, Fortinet, Cisco e prodotti Microsoft, dimostrando una capacità sofisticata di threat intelligence.

Il vantaggio tecnico: propagazione tipo verme e attacchi assistiti dall'IA

Ciò che distingue veramente The Gentlemen è il suo approccio multiforme al compromesso e alla propagazione:

  • Accesso iniziale: Il gruppo ottiene principalmente l'accesso tramite servizi esposti su Internet vulnerabili o credenziali rubate. Dispositivi perimetrali come appliance VPN, firewall (Cisco, Fortinet FortiGate) e altri sistemi esposti sono obiettivi privilegiati.
  • Strumenti avanzati: Una volta all'interno, impiegano un kit completo per le varie fasi di un attacco. Utility red team come NetExec, RelayKing, TaskHound, PrivHound e CertiHound sono usate per il discovery di Active Directory, abuso di certificati, escalation dei privilegi e discovery delle condivisioni. Strumenti personalizzati come EDRStartupHinder e gfreeze vengono deployati per eludere i programmi di sicurezza, mentre Velociraptor facilita il command and control (C2).
  • Propagazione tipo verme: Il tracciamento di Microsoft di questo cluster, denominato Storm-2697, rivela una capacità critica: quando abilitato con l'argomento --spread, il ransomware The Gentlemen si trasforma da cifratore a singolo host in un verme auto-propagante. Può tentare di deployarsi su ogni sistema raggiungibile nella rete, aumentando drasticamente portata e impatto dell'attacco.
  • Cancellazione dati e crittografia ibrida: Oltre alla crittografia, il ransomware può eseguire routine post-crittografia per eliminare artefatti recuperabili dal disco tramite l'argomento --wipe. Impiega uno schema crittografico ibrido robusto (scambio di chiavi X25519 con crittografia simmetrica XChaCha20), rendendo praticamente impossibile la decifratura senza la chiave.
  • Estorsione multicanale: ZeroFox riporta che The Gentlemen combina attacchi ransomware con contatto via email e pressione telefonica, evidenziando una strategia di estorsione completa e aggressiva.

Rischi aziendali e implicazioni per l'impresa

Le implicazioni delle capacità di The Gentlemen per le aziende sono profonde:

  • Superficie di attacco aumentata: Il focus su dispositivi perimetrali comuni e servizi esposti significa che praticamente qualsiasi organizzazione con presenza digitale è un potenziale obiettivo.
  • Contaminazione rapida: La capacità di propagazione tipo verme riduce drasticamente il tempo fino al compromesso totale della rete, rendendo insufficiente una risposta agli incidenti tradizionale e reattiva.
  • Evasione sofisticata: Tecniche avanzate di evasione rendono difficile la rilevazione e il contenimento, stressando i controlli di sicurezza esistenti.
  • Perdita significativa di dati e downtime: La combinazione di crittografia forte e potenziale cancellazione dei dati provoca gravi interruzioni operative e perdite finanziarie.
  • Danno reputazionale e sanzioni normative: Le violazioni dei dati e le interruzioni prolungate possono danneggiare gravemente la reputazione e comportare sanzioni normative sostanziali.
  • Rischio nella catena di approvvigionamento: Come operazione RaaS, i suoi affiliati possono colpire qualsiasi organizzazione, incluse quelle della vostra catena di approvvigionamento, creando effetti a cascata.

Difesa proattiva: strategie per mitigare The Gentlemen

Le aziende devono adottare una strategia di cybersecurity proattiva e multilivello per difendersi da minacce come The Gentlemen. Affidarsi esclusivamente alle difese perimetrali non è più sufficiente.

Raccomandazioni chiave:

  1. Gestione robusta di patch e vulnerabilità: Aggiornate e correggete regolarmente tutti i software, i sistemi operativi e i dispositivi di rete, soprattutto quelli esposti su Internet. Prestate particolare attenzione alle vulnerabilità segnalate nei prodotti Fortinet, Cisco, VMware e Microsoft.
  2. Segmentazione di rete: Implementate una segmentazione rigorosa per limitare il movimento laterale del ransomware. Applicate i principi Zero Trust Network Access (ZTNA) dove possibile.
  3. EDR / XDR: Distribuite soluzioni avanzate di Endpoint Detection and Response (EDR) o Extended Detection and Response (XDR) in grado di rilevare e rispondere a tattiche sofisticate.
  4. Rafforzare l'IAM: Imporre password forti e univoche e autenticazione multifattore (MFA), in particolare per account amministrativi e privilegiati.
  5. Strategia completa di backup e recovery: Implementate la strategia 3-2-1 con copie isolate e immutabili.
  6. Formazione sulla consapevolezza della sicurezza: Formate i dipendenti su phishing, social engineering e sull'importanza di segnalare attività sospette.
  7. Monitoraggio continuo e threat hunting: Monitoraggio di sicurezza 24/7 tramite SIEM e caccia proattiva alle minacce.
  8. Piano di risposta agli incidenti: Sviluppate, testate e aggiornate regolarmente un piano completo di contenimento, eradicazione e ripristino.

Resilienza con ITCS VIP

La complessità e l'evoluzione di minacce come The Gentlemen sottolineano la necessità di competenze specializzate. In ITCS VIP comprendiamo che la cybersecurity aziendale non riguarda solo la tecnologia: si tratta di strategia, persone e processi.

I nostri servizi professionali affrontano le sfide specifiche dei gruppi ransomware moderni:

  • Managed Detection and Response (MDR): Monitoraggio proattivo 24/7/365, threat hunting e risposta rapida agli incidenti con tecnologie EDR/XDR avanzate.
  • Architettura di sicurezza di rete e segmentazione: Progettazione e implementazione di strategie di segmentazione robuste, inclusi framework Zero Trust, per limitare il movimento laterale e mitigare la propagazione tipo verme.
  • Cloud Security Posture Management (CSPM): Identificazione e remediation di configurazioni errate e vulnerabilità negli ambienti cloud.
  • Gestione delle vulnerabilità e penetration test: Valutazioni approfondite per identificare debolezze e correggere proattivamente vulnerabilità critiche.
  • Consulenza in cybersecurity e pianificazione della risposta agli incidenti: Sviluppo e perfezionamento dei piani di risposta.
  • Backup sicuro e disaster recovery: Soluzioni air-gapped e immutabili che garantiscono la recuperabilità dei dati.

Associandovi a ITCS VIP, le aziende possono rafforzare le difese, ridurre la superficie di attacco e migliorare la resilienza. Non aspettate una violazione per agire.

Conclusione

The Gentlemen rappresenta un'evoluzione formidabile della cyberextorsione, combinando sviluppo guidato dall'IA, propagazione tipo verme e un modello RaaS altamente organizzato. Il rapido numero di vittime e la sofisticata catena di attacco ricordano che le difese statiche sono insufficienti. Le aziende devono adottare un approccio dinamico, proattivo e a strati, adattando continuamente le difese per anticipare avversari sempre più intelligenti.