The Gentlemen è una delle operazioni ransomware-as-a-service più attive del momento. Secondo Check Point Research, il gruppo ha rivendicato oltre 320 vittime dalla metà del 2025, con circa 240 attacchi attribuiti al solo 2026. Il dato lo colloca tra i gruppi ransomware più aggressivi dell’anno per numero di vittime dichiarate pubblicamente. Il numero reale degli attacchi potrebbe essere superiore. Le vittime pubblicate sui siti di leak dei gruppi ransomware rappresentano di norma solo una parte del fenomeno: spesso compaiono le organizzazioni che non pagano il riscatto o che non raggiungono un accordo con gli estorsori. In questo caso, l’analisi di CPR segnala anche un elemento più ampio: l’accesso a un server di comando e controllo collegato a un affiliato di The Gentlemen avrebbe rivelato una botnet con oltre 1.570 probabili vittime aziendali.
Un modello RaaS costruito per attirare affiliati
The Gentlemen opera secondo il modello Ransomware-as-a-Service, nel quale gli sviluppatori del malware mettono a disposizione infrastruttura, strumenti, sito di leak e supporto operativo, mentre gli affiliati eseguono gli attacchi contro le aziende. I ricavi derivanti dai riscatti vengono poi divisi tra le parti.
Il punto che distingue The Gentlemen è la ripartizione economica: secondo Check Point Research, agli affiliati spetterebbe il 90% del riscatto, contro uno schema più comune di circa 80/20 in altre operazioni RaaS. In un mercato criminale guidato da incentivi economici, quel margine può attrarre operatori già esperti, anche provenienti da gruppi concorrenti. Questo spiega in parte la rapidità con cui il gruppo ha ampliato la propria attività. The Gentlemen non sembra basare il proprio successo su una tecnica inedita, ma su un modello operativo efficiente, capace di sostenere affiliati diversi e attacchi contro ambienti Windows, Linux ed ESXi.
VPN, firewall e sistemi esposti come punto di ingresso
Gli attacchi attribuiti a The Gentlemen risultano in larga parte opportunistici. Il gruppo cerca organizzazioni con infrastrutture esposte su Internet, in particolare VPN, firewall, gateway di accesso remoto e portali di amministrazione. Questi sistemi, se non aggiornati o configurati male, diventano il primo varco verso la rete interna. Il quadro conferma una tendenza già nota nel ransomware contemporaneo: i dispositivi perimetrali sono diventati bersagli prioritari perché spesso hanno privilegi elevati, restano online in modo permanente e non ricevono patch con la stessa rapidità delle normali applicazioni web.
Manifattura, tecnologia e sanità tra i settori più esposti
Secondo i dati riportati da Check Point Research, i settori più colpiti sono manifatturiero e tecnologico, due comparti già molto presenti nelle statistiche globali sul ransomware. La presenza crescente della sanità come terzo ambito più colpito rappresenta però un segnale rilevante. Alcuni gruppi ransomware dichiarano di evitare ospedali e strutture sanitarie per ragioni reputazionali o di autoconservazione. The Gentlemen, secondo l’analisi di CPR, non mostra limiti analoghi. Questo rende il gruppo particolarmente critico per le organizzazioni che gestiscono dati sensibili, servizi essenziali e infrastrutture cliniche. Sul piano geografico, gli Stati Uniti risultano il Paese con il maggior numero di vittime, seguiti da Regno Unito e Germania tra le aree più rappresentate nelle rivendicazioni pubbliche e nei dati telemetrici analizzati dai ricercatori. (Check Point Blog)
Il ruolo di SystemBC e della botnet da oltre 1.570 host
Durante un’attività di risposta agli incidenti, Check Point Research ha individuato l’uso di SystemBC, un malware proxy già noto nel panorama cybercriminale. SystemBC consente di creare tunnel di rete tramite SOCKS5, così da offrire agli attaccanti un canale di accesso stabile e meno visibile all’interno degli ambienti compromessi. L’accesso al server di comando e controllo collegato all’affiliato ha permesso ai ricercatori di osservare una rete di oltre 1.570 host ritenuti probabili vittime aziendali. Anche BleepingComputer e The Hacker News hanno riportato il collegamento tra The Gentlemen, SystemBC e la botnet emersa durante l’indagine. Il dato è significativo perché supera di molto il numero di vittime pubblicate dal gruppo sui propri canali di estorsione. Indica inoltre che molte organizzazioni potrebbero risultare compromesse prima ancora della fase di cifratura o di rivendicazione pubblica.
La velocità come tratto distintivo
Uno degli aspetti più rilevanti dell’operazione The Gentlemen è la rapidità. Nel caso analizzato da CPR, l’attaccante disponeva già di un accesso amministrativo a livello di dominio. Da quel punto, l’operazione avrebbe seguito una sequenza molto rapida: verifica delle credenziali, movimento laterale verso numerosi host, disattivazione degli strumenti di sicurezza e distribuzione del ransomware tramite Criteri di gruppo. La cifratura simultanea di più macchine indica un livello di preparazione elevato. Gli affiliati non sembrano affidarsi a tentativi improvvisati, ma a procedure documentate e già testate, pensate per colpire l’intera rete prima che i team di sicurezza possano reagire.
Cosa devono fare le aziende
Il caso The Gentlemen conferma che molte campagne ransomware efficaci non richiedono necessariamente zero-day o tecniche fuori scala. Spesso bastano sistemi esposti, patch in ritardo, credenziali compromesse e privilegi eccessivi.
Per ridurre il rischio, le aziende dovrebbero dare priorità agli asset raggiungibili da Internet: VPN, firewall, gateway di accesso remoto e interfacce di amministrazione vanno aggiornati con la stessa urgenza riservata alle applicazioni pubbliche più critiche.
Serve poi una gestione più rigorosa delle identità. Autenticazione a più fattori, controllo degli accessi privilegiati e verifica continua degli account amministrativi riducono la possibilità che un attacco passi rapidamente dall’accesso iniziale al controllo del dominio.
I backup restano un presidio essenziale, ma devono essere isolati, verificati e ripristinabili. Molte organizzazioni scoprono l’inefficacia dei propri backup solo durante un incidente, quando il margine operativo è ormai ridotto.
Un altro punto riguarda il rilevamento interno. Il ransomware diventa visibile nella fase finale, ma l’attaccante spesso è già dentro la rete. Per questo la difesa deve osservare movimenti laterali, abuso di credenziali, esecuzioni anomale e modifiche ai criteri di dominio, non solo il perimetro.
La segmentazione della rete limita infine il raggio d’azione dell’attaccante. Se un affiliato riesce ad accedere al controller di dominio e a raggiungere ogni endpoint, la cifratura tramite Criteri di gruppo può trasformarsi in un evento sistemico.
The Gentlemen mostra una dinamica ormai strutturale del ransomware: un’operazione criminale può crescere molto anche senza tecniche particolarmente nuove, purché abbia un modello economico competitivo, affiliati esperti e una catena d’attacco abbastanza rapida da superare i tempi di risposta delle aziende.
