Il colpo segreto dei Gentlemen: dentro la botnet nascosta che alimenta un’impennata globale del ransomware

Quando gli analisti di cybersecurity si sono imbattuti in un server di comando e controllo attivo collegato al famigerato malware proxy SystemBC, non hanno trovato solo una manciata di macchine compromesse: hanno scoperto una botnet tentacolare con oltre 1.570 vittime aziendali, la maggior parte delle quali non aveva idea di essere stata risucchiata in uno degli schemi ransomware in più rapida ascesa al mondo. Benvenuti nel mondo ombroso e manageriale di The Gentlemen, un’operazione ransomware che sta riscrivendo il manuale dell’estorsione digitale - una violazione silenziosa alla volta.

Fatti rapidi

• Il gruppo ransomware The Gentlemen ha compromesso oltre 1.570 reti tramite SystemBC, molte più di quante ne suggeriscano le loro fughe di dati pubbliche.
• Questa operazione usa tattiche di doppia estorsione, colpendo sistemi Windows, Linux, NAS e BSD con un ransomware versatile basato su Go.
• SystemBC crea tunnel cifrati per il controllo remoto e la consegna di malware, eludendo gli strumenti di sicurezza e facilitando il movimento laterale.
• Gli affiliati dei Gentlemen personalizzano gli attacchi disabilitando la sicurezza, abusando dei Criteri di gruppo e sfruttando driver legittimi per restare invisibili.
• La velocità degli attacchi ransomware sta aumentando, con tempi di permanenza che si riducono a ore o meno mentre gruppi come Akira e The Gentlemen competono per il predominio.

L’anatomia di un moderno impero ransomware

Da quando sono esplosi sulla scena nel luglio 2025, The Gentlemen hanno superato i rivali combinando sofisticazione tecnica e un modello di business spietatamente efficiente. La loro arma segreta? Una piattaforma ransomware-as-a-service (RaaS) che attira affiliati esperti offrendo loro quote di profitto senza precedenti e un supporto solido. Una volta dentro la rete della vittima - spesso tramite servizi esposti o credenziali rubate - gli attaccanti distribuiscono un arsenale che include Cobalt Strike per la ricognizione, SystemBC per comunicazioni furtive e un ransomware personalizzato in grado di colpire quasi qualsiasi sistema operativo moderno.

SystemBC, il perno della loro operazione, stabilisce tunnel cifrati usando un protocollo RC4 personalizzato. Questo non solo consente agli attaccanti di controllare da remoto le macchine infette, ma anche di scaricare ulteriore malware o iniettarlo direttamente in memoria, eludendo molte difese tradizionali. Le tecniche operative dei Gentlemen non si fermano qui: disabilitano sistematicamente Windows Defender, spengono i firewall, riabilitano protocolli vulnerabili e manipolano gli Oggetti Criteri di gruppo per assicurarsi che il loro ransomware si propaghi su interi domini praticamente senza essere rilevato.

Recenti scoperte di Check Point hanno rivelato che un singolo server C2 di SystemBC stava orchestrando attacchi negli Stati Uniti, nel Regno Unito, in Germania, in Australia e in Romania - prova che la vera scala della campagna dei Gentlemen è ampiamente sottostimata. Mentre il loro sito di leak dei dati elenca circa 320 vittime, il numero reale di organizzazioni compromesse è probabilmente diverse volte superiore.

L’approccio del gruppo è emblematico di una tendenza più ampia: il ransomware si sta evolvendo in un ecosistema industrializzato e altamente specializzato. Le operazioni ora si muovono a velocità vertiginosa, con molti attacchi che si sviluppano durante la notte o nei fine settimana, lasciando ai difensori poco tempo per reagire. Nel frattempo, nuove famiglie ransomware come Kyber stanno emergendo, prendendo di mira sia Windows sia le piattaforme di virtualizzazione con un’efficienza distruttiva.

Conclusione: la silenziosa espansione dell’estorsione digitale

The Gentlemen non sono solo l’ennesima banda ransomware rumorosa: sono un’impresa disciplinata e adattiva che prospera nell’ombra e sfrutta ogni debolezza disponibile. Man mano che il ransomware continua a professionalizzarsi e frammentarsi, i difensori affrontano una battaglia in salita contro avversari tanto innovativi quanto implacabili. Il numero reale delle vittime potrebbe non essere mai conosciuto fino in fondo, ma una cosa è chiara: l’era del cybercrimine furtivo e guidato dal business è arrivata, ed è solo all’inizio.

TECHCROOK

Bitdefender Total Security è una suite di protezione endpoint pensata per ridurre il rischio di infezioni da malware e ransomware e per ostacolare tecniche tipiche delle botnet e dei canali C2, come tunnel cifrati e download di payload aggiuntivi. Integra moduli anti-malware e anti-ransomware con analisi comportamentale, protezione in tempo reale e funzioni di hardening che aiutano a intercettare attività anomale (es. disattivazione delle difese, esecuzioni sospette, persistenza). Include anche protezione web/anti-phishing e controlli di rete utili in scenari di movimento laterale. È adatto a PC Windows e macOS e, a seconda dell’edizione, può coprire più dispositivi con gestione centralizzata di base. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
• SystemBC: SystemBC è un malware proxy usato dagli attaccanti per incanalare traffico malevolo, consegnare payload e nascondere la propria attività agli strumenti di sicurezza.
• Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
• Doppia: La doppia estorsione è un attacco informatico in cui i criminali sia cifrano sia rubano i dati, minacciando di divulgarli a meno che la vittima non paghi un riscatto.
• Movimento laterale: Il movimento laterale è quando gli attaccanti, dopo aver violato una rete, si spostano lateralmente per accedere ad altri sistemi o dati sensibili, ampliando il loro controllo e la loro portata.