Una nuova ricerca condotta da Kaspersky GReAT (Global Research and Analysis Team) sul gruppo di autori di ransomware in rapida espansione noto come The Gentlemen ha rivelato un’evoluzione delle tattiche adottate dagli attaccanti, che ora ricorrono a nuovi strumenti sviluppati su misura: una backdoor progettata per facilitare la raccolta di informazioni prima del rilascio del ransomware e mantenere il controllo sui sistemi compromessi, oltre a un nuovo file eseguibile del ransomware. Il gruppo è stato attivo a livello globale in diversi settori, tra cui quello manifatturiero, dei servizi IT, sanitario, finanziario, edile e logistico.
The Gentlemen è un’organizzazione Ransomware-as-a-Service (RaaS) in rapida espansione che si ritiene sia emersa intorno alla metà del 2025. Il gruppo e i suoi affiliati ottengono l’accesso iniziale ai sistemi delle vittime principalmente sfruttando servizi esposti a Internet e credenziali compromesse. Gli autori degli attacchi potrebbero inoltre collaborare con gli Initial Access Broker (IAB) per ottenere, con il minimo sforzo, l’accesso a organizzazioni in possesso di proprietà intellettuale di valore. Kaspersky ha scoperto che l’accesso ad alcuni sistemi delle vittime, effettuato attraverso tecniche che il gruppo non utilizza abitualmente, è avvenuto molto prima dell’infezione ransomware. Questo potrebbe indicare che l’accesso iniziale non sia stato ottenuto direttamente da The Gentlemen, ma da un altro attore malevolo, probabilmente un IAB.
A differenza di molti gruppi RaaS, The Gentlemen dimostra un elevato livello di sofisticazione, facendo ricorso a strumenti personalizzati e a tattiche di intrusione flessibili. I ricercatori di Kaspersky hanno identificato una backdoor precedentemente sconosciuta, sviluppata su misura e scritta in Go, distribuita dagli attaccanti un giorno prima dell’esecuzione del ransomware. Il malware raccoglie informazioni sull’host e sulla rete, nasconde la finestra della console per ridurre le probabilità di rilevamento e consente comunicazioni bidirezionali con gli autori dell’attacco, l’esecuzione di comandi controllati dal server e attività di ricognizione. Queste funzionalità permettono agli attaccanti di estendere e adattare la propria attività all’interno dell’ambiente compromesso.
Kaspersky ha inoltre individuato una nuova variante di ransomware scritta in C che ha colpito un numero limitato di aziende. Sebbene The Gentlemen abbia utilizzato principalmente un ransomware sviluppato in Go e progettato per un impiego multipiattaforma, questa nuova variante sembra essere specificamente destinata ai sistemi Windows. È possibile che il gruppo stia testando il nuovo malware direttamente negli ambienti delle vittime come parte dell’ampliamento del proprio arsenale tecnico.
“Nonostante sia entrato da poco nel panorama delle minacce ransomware, il gruppo The Gentlemen si sta rapidamente guadagnando una reputazione tra gli autori di attacchi, attirando affiliati e sferrando attacchi di grande risonanza. I test sulle nuove varianti di ransomware scritte in C suggeriscono che il gruppo stia perfezionando attivamente le proprie capacità, il che potrebbe tradursi in catene di attacco più stabili e scalabili nel prossimo futuro. Le aziende dovrebbero aspettarsi ulteriori attività dannose legate al ransomware e si raccomanda vivamente loro di dare priorità alla gestione delle vulnerabilità e ai processi di rafforzamento dei sistemi per mitigare il rischio di compromissione”, ha dichiarato Fatih Sensoy, Security Expert di Kaspersky GReAT.
In occasione dell’Anti-Ransomware Day, Kaspersky ha inoltre pubblicato un report che offre una panoramica delle più recenti tendenze relative al ransomware. Secondo il Kaspersky Security Network, nel 2025 l’America Latina ha registrato la percentuale più elevata di aziende in cui sono stati rilevati attacchi ransomware (8,13%), seguita dalla regione Asia-Pacifico (7,89%), dall’Africa (7,62%), dal Medio Oriente (7,27%), dalla Comunità degli Stati Indipendenti (CSI, 5,91%) e dall’Europa (3,82%).
