Investigadores de seguridad han identificado un nuevo grupo de ransomware conocido como Gentlemen el que ha llevado a cabo ataques de extorsión contra organizaciones en varias regiones. Los investigadores informaron de actividad vinculada al grupo en al menos 17 países de Norteamérica, Sudamérica, la región de Asia Pacífico y Oriente Medio. El alcance de la campaña sugiere que el grupo opera a gran escala y es capaz de sostener ataques coordinados contra una amplia gama de objetivos.
El Gentlemen grupo apareció por primera vez a mediados de 2025 y rápidamente comenzó a reclamar víctimas en varios sectores. Los objetivos reportados incluyen organizaciones en los sectores de la manufactura, la construcción, la sanidad y los seguros. Los analistas afirmaron que estos sectores a menudo dependen de la disponibilidad continua del sistema y gestionan datos sensibles, lo que los hace atractivos para los operadores de ransomware que buscan maximizar la presión durante intentos de extorsión.
El grupo utiliza un modelo de doble extorsión que combina cifrado de archivos con robo de datos. Tras acceder a una red, los atacantes cifran sistemas críticos y exfiltran información sensible. A continuación, las víctimas son amenazadas con la divulgación pública de los datos robados si no se cumplen las demandas de pago. Los investigadores afirmaron que este enfoque aumenta la influencia al crear tanto interrupciones operativas como posibles consecuencias legales o reputacionales.
Las investigaciones sobre los métodos del grupo indican un alto nivel de capacidad técnica. Los analistas observaron el uso de controladores legítimos para eludir los controles de seguridad y herramientas personalizadas diseñadas para desactivar software protector. Los atacantes también realizan un reconocimiento detallado de las redes objetivo antes de desplegar ransomware, lo que les permite adaptar sus técnicas al entorno que encuentran. Esta flexibilidad ha dificultado la detección y contención para las organizaciones afectadas.
Se cree que la Gentlemen operación utiliza un modelo de ransomware como servicio. Bajo esta estructura, los operadores principales desarrollan y mantienen el malware mientras que los afiliados proporcionan acceso a las redes víctimas o ayudan en el despliegue. A cambio, los afiliados reciben una parte de los pagos de rescate. Los investigadores afirmaron que este modelo permite una expansión rápida al permitir que múltiples actores participen sin tener que construir su propia infraestructura desde cero.
Las víctimas informaron de una interrupción significativa tras los ataques atribuidos al grupo. Los sistemas cifrados han paralizado las operaciones empresariales y obligado a las organizaciones a suspender sus servicios mientras se realizaban los esfuerzos de recuperación. En casos relacionados con robo de datos, las organizaciones afrontaron riesgos adicionales relacionados con la exposición de datos, el cumplimiento normativo y la pérdida de confianza. Los analistas afirmaron que, incluso cuando se restauran los sistemas, la amenaza de filtraciones de datos puede persistir.
Especialistas en ciberseguridad afirmaron que la aparición de Gentlemen pone de manifiesto los cambios continuos en la actividad de ransomware. Cada vez más los grupos combinan sofisticación técnica con tácticas refinadas de extorsión para mejorar las tasas de éxito. Los expertos aconsejaron a las organizaciones centrarse en medidas preventivas como copias de seguridad regulares fuera de línea, controles de acceso estrictos y monitorización continua ante actividades inusuales. También subrayaron la importancia de la planificación de la respuesta a incidentes para limitar los daños en caso de una intrusión.
Los investigadores afirmaron que la campaña demuestra que el ransomware sigue siendo una amenaza persistente y en evolución. La expansión de nuevos grupos como Gentlemen refleja una tendencia más amplia en la que las operaciones cibercriminales se adaptan y expanden rápidamente, requiriendo una atención sostenida por parte de organizaciones de todos los sectores.