Ransomware The Gentlemen: 1.570 reti violate nell'ombra

Scoperta una botnet da oltre 1.570 vittime legata a The Gentlemen ransomware. Il RaaS cresce silenziosamente: ecco cosa emerge dal report Check Point.

Contenuto

Ransomware The Gentlemen: 1.570 reti violate nell'ombra

Scopri anche

Ransomware The Gentlemen: 1.570 reti violate nell'ombra

Quante aziende sono state compromesse senza che nessuno lo sapesse? È la domanda che solleva il nuovo report di Check Point Research sull'operazione ransomware-as-a-service (RaaS) The Gentlemen, che ha rivelato un divario inquietante tra le vittime reclamate pubblicamente e quelle effettivamente compromesse. I ricercatori hanno scoperto una botnet con oltre 1.570 reti aziendali violate che non sono mai apparse sulle cronache di sicurezza, mentre il gruppo continua la sua espansione aggressiva nel panorama criminoso del 2026.

La scoperta della botnet SystemBC

Il 20 aprile 2026, Check Point Research ha pubblicato un report DFIR (Digital Forensics and Incident Response) che getta luce sull'operazione The Gentlemen e sul suo collegamento con il malware proxy SystemBC. Durante un intervento di incident response, i ricercatori hanno osservato un affiliato del gruppo tentare il deploy di SystemBC su un host compromesso. L'analisi del server command-and-control (C2) collegato al malware ha rivelato una botnet con oltre 1.570 vittime, un numero significativamente superiore rispetto alle 320 vittime reclamate pubblicamente dal gruppo sul suo data leak site.

SystemBC opera stabilendo tunnel di rete SOCKS5 nell'ambiente della vittima e connettendosi al server C&C tramite un protocollo personalizzato criptato con RC4. Questa architettura permette agli attaccanti di mantenere accesso persistente e muoversi lateralmente nelle reti compromesse senza essere rilevati. Secondo Check Point, il profilo delle infezioni suggerisce un targeting deliberato di organizzazioni aziendali piuttosto che individui consumer, con gli Stati Uniti che rappresentano la maggioranza delle vittime, seguiti da Regno Unito e Germania.

L'ascesa di The Gentlemen nel panorama RaaS

The Gentlemen è emerso come gruppo ransomware-as-a-service a luglio 2025, operando secondo un modello di double-extortion che combina la cifratura dei dati con il furto e la minaccia di pubblicazione. Nei primi mesi del 2026, il gruppo ha registrato 240 attacchi, portando il totale delle vittime reclamate pubblicamente a oltre 320. Tuttavia, la vera scala dell'operazione rimane invisibile al pubblico.

Eli Smadja, Group Manager at Check Point Research, ha spiegato: "Most ransomware groups make noise when they launch and then disappear. The Gentlemen are different. They've cracked the affiliate recruitment problem by offering a better deal than anyone else in the criminal ecosystem. When we got inside one of their operator's servers, we found over 1,570 compromised corporate networks that hadn't even made the news yet. The real scale of this operation is significantly larger than what's publicly known, and it's still growing."

L'attrattiva per gli affiliati risiede nell'offerta tecnica: il RaaS fornisce locker multi-piattaforma implementati in Go per Windows, Linux, NAS e BSD, oltre a un locker aggiuntivo scritto in C specificamente per ESXi. Questa versatilità permette agli affiliati di colpire un ampio spettro di infrastrutture aziendali, dagli endpoint tradizionali ai server hypervisor.

Tecniche di attacco e persistenza

Il report di Check Point dettaglia le tattiche impiegate dagli affiliati di The Gentlemen durante le operazioni di compromissione. Gli attaccanti sfruttano Group Policy Objects (GPO) per facilitare la compromissione domain-wide, un approccio che permette di propagare il malware attraverso intere reti aziendali sfruttando i meccanismi di gestione centralizzata di Windows.

La variante ESXi del ransomware è progettata specificamente per ambienti virtualizzati: il malware spegne le macchine virtuali prima della cifratura e aggiunge persistenza attraverso crontab, garantendo che il payload venga eseguito anche dopo eventuali riavvii del sistema. Durante gli attacchi osservati, gli affiliati hanno deployato Cobalt Strike beacons tramite condivisioni ADMIN$, eseguito comandi di discovery come whoami e systeminfo, e consultato documentazione interna per comprendere l'ambiente target prima di detonare il ransomware.

Un elemento distintivo delle operazioni di The Gentlemen è l'uso di canali di negoziazione alternativi. Le negoziazioni avvengono via Tox, un protocollo P2P criptato end-to-end, anziché attraverso il portale di leak. Il gruppo mantiene inoltre un account Twitter/X referenziato nelle note di ransomware per pubblicare le vittime e aumentare la pressione mediatica sulle organizzazioni colpite.

La consapevolezza delle contromisure di sicurezza

Già nel settembre 2025, Trend Micro aveva evidenziato la sofisticatezza tattica del gruppo. Secondo l'analisi di Trend Micro: "By tailoring their tactics against specific security vendors, The Gentlemen have demonstrated an acute awareness of their targets' environments and a willingness to engage in in-depth reconnaissance and tool modification throughout the course of their operation."

Questa capacità di adattamento rappresenta una delle caratteristiche che distingue The Gentlemen da altri gruppi ransomware. Gli affiliati modificano strumenti e tecniche in base all'ambiente target, dimostrando una comprensione approfondita delle soluzioni di sicurezza deployate nelle organizzazioni vittime. Nel caso specifico osservato da Check Point, il tentativo di installare SystemBC (come socks.exe) per costruire tunnel SOCKS5 covert e stageare payload aggiuntivi è stato bloccato dalla protezione endpoint, ma evidenzia l'approccio multi-fase delle operazioni del gruppo.

Il divario tra vittime pubbliche e reali

La discrepanza tra le 320 vittime reclamate sul data leak site e le oltre 1.570 vittime identificate nella botnet SystemBC solleva interrogativi significativi sulla trasparenza del panorama delle minacce. Molte organizzazioni potrebbero aver pagato il riscatto senza che l'attacco diventasse pubblico, oppure gli affiliati stanno mantenendo accessi persistenti per operazioni secondarie non direttamente legate al ransomware.

La scoperta suggerisce anche che altre botnet simili potrebbero operare nell'ombra, sfuggendo al monitoraggio pubblico mentre continuano a compromettere infrastrutture critiche. Per le organizzazioni, questo evidenzia l'importanza di monitorare non solo gli attacchi ransomware dichiarati, ma anche indicatori di compromissione associati a malware proxy come SystemBC che potrebbero segnalare fasi preparatorie di attacchi più ampi.

Domande frequenti

Cos'è The Gentlemen ransomware?
The Gentlemen è un'operazione ransomware-as-a-service (RaaS) emersa a luglio 2025 che offre ai propri affiliati locker multi-piattaforma per Windows, Linux, NAS, BSD e ESXi. Opera secondo un modello di double-extortion, cifrando i dati e minacciando di pubblicarli.
Che cos'è SystemBC?
SystemBC è un malware proxy che stabilisce tunnel di rete SOCKS5 nell'ambiente della vittima, connettendosi a server command-and-control tramite un protocollo personalizzato criptato con RC4. Viene usato per mantenere accesso persistente e muoversi lateralmente nelle reti compromesse.
Quante vittime ha causato The Gentlemen?
Il gruppo ha reclamizzato pubblicamente oltre 320 vittime sul suo data leak site, ma l'analisi del server C2 di SystemBC ha rivelato una botnet con oltre 1.570 vittime, suggerendo che la scala reale dell'operazione è significativamente superiore a quella nota pubblicamente.
Quali sono i canali di negoziazione del gruppo?
The Gentlemen utilizza Tox, un protocollo P2P criptato end-to-end, per le negoziazioni con le vittime. Il gruppo mantiene anche un account Twitter/X per pubblicare le vittime e aumentare la pressione mediatica.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Approfondimenti correlati

Fonti

Link utili

Apri l'articolo su DeafNews