NUEVO RANSOMWARE QUE ATACA A MEDIDA

¿Qué es el ransomware The Gentlemen?
The Gentlemen es un grupo emergente de ransomware-as-a-service surgido a mediados de 2025, que destaca por una imagen profesional y cuidada, inspirada en el estilo de Guy Ritchie. Este nivel de sofisticación también se refleja en la precisión de sus ataques y en sus herramientas. Su operación se basa en la doble extorsión: cifran los sistemas de la víctima y exfiltran datos confidenciales, amenazando con publicarlos si no se paga el rescate, lo que incrementa significativamente la presión sobre las organizaciones afectadas.

¿Qué lo hace realmente distintivo?
The Gentlemen utiliza una metodología de reconocimiento avanzado, empleando herramientas como Advanced IP Scanner y Nmap para mapear la infraestructura y el Active Directory, identificando cuentas privilegiadas y rutas óptimas de ataque. Su operación es altamente adaptable: ajustan el comportamiento del malware para evadir detección, modifican herramientas en plena campaña si son bloqueadas y optimizan el cifrado según el entorno.

• El despliegue se realiza de forma masiva mediante GPO y recursos como NETLOGON, asegurando propagación en todo el dominio. Además, incorporan técnicas de evasión como el uso obligatorio de contraseñas para ejecutar el malware, dificultando el análisis en sandbox. 

Anatomía de un ataque de The Gentlemen
Un ataque de The Gentlemen inicia mediante accesos expuestos o credenciales robadas. Tras infiltrarse, el grupo explora la red para identificar su estructura y cuentas con altos privilegios. Luego se mueve lateralmente y despliega el ransomware de forma simultánea en múltiples equipos, debilitando los controles de seguridad.

• En la fase final, combinan el robo de información sensible con el cifrado de sistemas, aplicando doble extorsión. Posteriormente, eliminan rastros de su actividad para dificultar la detección e investigación del incidente.

¿Cómo protegerse?

1. Reducir la exposición en internet: revisar qué sistemas están accesibles desde afuera y cerrar cualquier acceso innecesario, especialmente paneles de administración o accesos remotos.
2. Proteger las credenciales: utilizar contraseñas únicas y robustas, activando el doble factor de autenticación y monitoreando cualquier inicio de sesión sospechoso.
3. Mantener todo actualizado: aplicar parches de seguridad en sistemas operativos, servidores y aplicaciones. Muchas de sus intrusiones explotan fallas ya conocidas.
4. Detectar comportamientos anómalos: implementar soluciones que permitan identificar actividad inusual dentro de la red, como accesos fuera de horario o ejecuciones remotas inesperadas.
5. Limitar privilegios: no todos los usuarios necesitan acceso total. Reducir permisos minimiza el impacto si una cuenta es comprometida.
6. Segmentar la red: separar sistemas críticos evita que un atacante se mueva libremente y comprometa toda la infraestructura.
7. Realizar backups: efectuar copias de seguridad periódicas, y almacenarlas de forma aislada, verificando que puedan restaurarse correctamente.
8. Capacitar al equipo: el error humano sigue siendo una de las principales puertas de entrada. La concientización es clave.

Fuente: https://www.welivesecurity.com/es/ransomware/the-gentlemen-la-nueva-gene...