“Gentlemen Thieves”: Nuovo Sindacato Ransomware Depreda Dati Aziendali in Tutto il Mondo

È iniziato in sordina. Alcune aziende in Asia e nelle Americhe hanno segnalato strani messaggi di riscatto e file criptati. Ma entro la fine del 2025, la banda ransomware “Gentlemen” aveva scatenato un attacco su vasta scala - lasciando le sale riunioni nel panico e i team IT a correre per contenere una minaccia raffinata quanto il suo nome è ironico.

Una Nuova Razza di Banditismo Digitale

A differenza di molte operazioni ransomware che funzionano come franchising o marchi riciclati, i Gentlemen sembrano essere un collettivo nuovo e ben organizzato. Gli analisti di sicurezza non hanno trovato collegamenti con modelli di Ransomware-as-a-Service (RaaS) o gang storiche. Questo gruppo è invece esploso sulla scena con abilità tecnica e un focus mirato su aziende di medie e grandi dimensioni, puntando al massimo potere di ricatto e guadagno.

Il manuale d’attacco degli aggressori è sofisticato. Prima di criptare un solo file, il loro malware disabilita Windows Defender, interrompe servizi di backup e database (come Veeam, MSSQL e MongoDB) e cancella i log di sistema - rendendo sia la difesa che l’analisi forense estremamente difficili. Il codice, scritto nel linguaggio di programmazione Go, si esegue solo con una password segreta, impedendo avvii accidentali e frustrando i ricercatori di sicurezza.

Dentro l’Attacco: Come i Gentlemen Bloccano le Loro Vittime

Il motore di cifratura dei Gentlemen non è certo un lavoro da dilettanti. Utilizza uno schema crittografico ibrido: X25519 per lo scambio sicuro delle chiavi e XChaCha20 per una cifratura dei file veloce e robusta. Ogni file riceve una propria chiave crittografica unica, rendendo impossibile la decriptazione di massa senza la collaborazione degli aggressori. I file più piccoli vengono cifrati completamente, mentre quelli più grandi vengono solo parzialmente alterati per velocizzare il processo senza perdere efficacia.

Una volta terminato il lavoro sporco, le vittime si ritrovano davanti una nota di riscatto - README-GENTLEMEN.txt - e uno sfondo del desktop che non lascia dubbi: i tuoi dati non sono solo bloccati, ma anche rubati. La minaccia? Pagare o vedere i propri segreti divulgati al mondo. Come “prova di vita”, gli hacker offrono di decriptare gratuitamente due file.

Allerta Globale: Cosa Succederà Ora?

La società di sicurezza AhnLab ha classificato il malware come “Ransomware/Win GentlemenCrypt” e pubblicato indicatori di compromissione, ma la campagna del gruppo è ancora in accelerazione. Gli esperti invitano le aziende a ricontrollare le strategie di backup, monitorare attività amministrative sospette e investire in solide difese endpoint e segmentazione di rete per limitare il raggio d’azione di futuri attacchi.