Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
The Gentlemen, il ransomware “worm” potenziato dall’IA: 478 vittime e RaaS aggressivo in crescita
Il ransomware The Gentlemen continua a crescere come una delle minacce più attive nel panorama cybercrime, con 478 vittime dichiarate e una struttura da ransomware as a service che incentiva gli affiliati con un modello di profit sharing aggressivo. In origine il gruppo operava come affiliato in campagne di doppia estorsione, appoggiandosi a risorse e infrastrutture di altri ecosistemi RaaS, per poi trasformarsi in un programma indipendente.
Questa evoluzione mostra come le operazioni ransomware moderne sappiano riorganizzarsi rapidamente, cambiando brand e catena di comando per ridurre dipendenze e aumentare il controllo sulle entrate.
Integrazione dell’intelligenza artificiale
Un elemento distintivo è la forte integrazione dell’intelligenza artificiale nello sviluppo e nella manutenzione del ransomware e degli strumenti di post exploitation. L’obiettivo è accelerare la produzione di varianti, migliorare le procedure operative e supportare gli affiliati durante le fasi di intrusione e cifratura. Il gruppo mantiene canali di assistenza tecnica dedicati e utilizza piattaforme di messaggistica orientate alla privacy, offrendo anche strumenti per eludere le difese.
Catena di attacco e tecniche operative
Dal punto di vista tecnico, The Gentlemen adotta una catena di attacco tipica enterprise. L’accesso iniziale avviene spesso tramite servizi esposti su internet e credenziali rubate, con particolare attenzione a dispositivi edge come VPN e firewall. Le attività successive includono ricognizione e movimento laterale in ambienti Active Directory, abuso di certificati e scoperta di condivisioni di rete, insieme a tecniche di evasione come la disabilitazione di Microsoft Defender, la pulizia dei log eventi e l’aggiunta di esclusioni antivirus. In alcune campagne viene citato anche l’uso di BYOVD per neutralizzare EDR.
Cifratura, offuscamento e propagazione
La cifratura sfrutta uno schema crittografico ibrido con scambio chiavi X25519 e cifratura XChaCha20, mentre il malware risulta scritto in Go e offuscato. La caratteristica più critica è la capacità di propagazione worm-like: con un argomento specifico il ransomware tenta di distribuirsi automaticamente a tutti i sistemi raggiungibili in rete, aumentando velocità e impatto dell’incidente. Un ulteriore parametro abilita routine di wipe post-cifratura per ridurre le possibilità di recupero.
Evoluzione rapida e tempi di permanenza
Le analisi indicano anche un ciclo di sviluppo molto reattivo, con aggiornamenti rapidi quando emergono strumenti di decrittazione o nuove opportunità di sfruttamento, e un dwell time medio di settimane prima della fase finale di cifratura, spesso in contesti con infrastrutture VMware.