I ricercatori di sicurezza hanno identificato un nuovo gruppo ransomware noto come Gentlemen An, che ha condotto attacchi di estorsione contro organizzazioni in diverse regioni. Gli investigatori hanno riportato attività collegate al gruppo in almeno 17 paesi del Nord America, Sud America, regione Asia Pacifico e Medio Oriente. L’entità della campagna suggerisce che il gruppo opera su larga scala ed è in grado di sostenere attacchi coordinati contro un’ampia gamma di obiettivi.
Il Gentlemen gruppo è apparso per la prima volta a metà 2025 e ha rapidamente iniziato a reclamare vittime in diversi settori. Gli obiettivi segnalati includono organizzazioni nei settori manifatturiero, edilizio, sanitario e assicurativo. Gli analisti hanno affermato che questi settori spesso si affidano alla disponibilità continua dei sistemi e gestiscono dati sensibili, rendendoli attraenti per gli operatori di ransomware che cercano di massimizzare la pressione durante i tentativi di estorsione.
Il gruppo utilizza un modello di doppia estorsione che combina la crittografia dei file con il furto di dati. Dopo aver ottenuto accesso a una rete, gli attaccanti criptano sistemi critici ed esfiltrano informazioni sensibili. Le vittime vengono quindi minacciate di divulgare pubblicamente i dati rubati se le richieste di pagamento non vengono soddisfatte. I ricercatori hanno affermato che questo approccio aumenta la leva finanziaria creando sia disagi operativi sia potenziali conseguenze legali o reputazionali.
Le indagini sui metodi del gruppo indicano un alto livello di capacità tecnica. Gli analisti hanno osservato l’uso di driver di sistema legittimi per aggirare i controlli di sicurezza e strumenti personalizzati progettati per disabilitare software protettivi. Gli attaccanti conducono anche ricognizioni dettagliate delle reti target prima di implementare ransomware, permettendo loro di adattare le loro tecniche all’ambiente che incontrano. Questa flessibilità ha reso più difficile il rilevamento e il contenimento per le organizzazioni interessate.
Si ritiene che l’operazione Gentlemen utilizzi un modello ransomware-as-a-service. In questa struttura, gli operatori principali sviluppano e mantengono il malware mentre gli affiliati forniscono accesso alle reti vittime o assistono nel dispiegamento. In cambio, gli affiliati ricevono una quota dei pagamenti del riscatto. I ricercatori hanno affermato che questo modello consente un’espansione rapida permettendo a più attori di partecipare senza dover costruire la propria infrastruttura da zero.
Le vittime hanno riferito gravi disagi dopo attacchi attribuiti al gruppo. I sistemi criptati hanno bloccato le operazioni aziendali e costretto le organizzazioni a sospendere i servizi mentre erano in corso i lavori di recupero. Nei casi di furto di dati, le organizzazioni hanno affrontato rischi aggiuntivi legati all’esposizione dei dati, alla conformità normativa e alla perdita di fiducia. Gli analisti hanno affermato che anche quando i sistemi vengono ripristinati, la minaccia di dati trapelati può persistere.
Gli specialisti della cybersicurezza hanno affermato che l’emergere di Gentlemen evidenzia i cambiamenti in corso nell’attività ransomware. I gruppi stanno sempre più combinando la sofisticazione tecnica con tattiche raffinate di estorsione per migliorare i tassi di successo. Gli esperti hanno consigliato alle organizzazioni di concentrarsi su misure preventive come backup regolari offline, controlli di accesso rigorosi e monitoraggio continuo per attività insolite. Hanno inoltre sottolineato l’importanza della pianificazione della risposta agli incidenti per limitare i danni in caso di intrusione.
I ricercatori hanno affermato che la campagna dimostra che il ransomware rimane una minaccia persistente e in evoluzione. La diffusione di nuovi gruppi riflette Gentlemen una tendenza più ampia in cui le operazioni di cybercriminali si adattano e si espandono rapidamente, richiedendo un’attenzione costante da parte di organizzazioni di tutti i settori.