El grupo The Gentlemen: afiliado de ransomware con doble extorsión y operaciones multi-RaaS

Introducción

En los últimos meses, la operación del grupo The Gentlemen ha captado la atención de la comunidad de ciberseguridad tras revelarse su papel como afiliado en múltiples esquemas de ransomware-as-a-service (RaaS). Un análisis exhaustivo publicado recientemente desvela cómo esta amenaza, motivada principalmente por el lucro económico, ha orquestado campañas de doble extorsión utilizando los recursos y herramientas de diferentes familias de ransomware, tales como LockBit (Tenacious Mantis), Qilin (Pestilent Mantis) y Medusa (Venomous Mantis). El caso de The Gentlemen ilustra la creciente sofisticación de los actores de amenazas y la flexibilidad operativa que les proporciona el modelo RaaS.

Contexto del Incidente o Vulnerabilidad

The Gentlemen no es un grupo tradicional de ransomware, sino un afiliado que opera en el ecosistema RaaS, actuando como intermediario entre los desarrolladores de malware y los objetivos finales. En su origen, el grupo se dedicaba principalmente a ataques de doble extorsión: tras cifrar los sistemas de sus víctimas, exigían un rescate tanto por la clave de descifrado como por no publicar los datos exfiltrados. Para ello, aprovecharon infraestructuras y payloads proporcionados por operadores de RaaS consolidados como LockBit, Qilin y Medusa.

Este enfoque multi-RaaS permite a The Gentlemen diversificar sus campañas y adaptarse rápidamente a las defensas de las organizaciones, evitando depender de una sola variante de ransomware y dificultando la atribución y respuesta forense.

Detalles Técnicos

Los ataques de The Gentlemen suelen comenzar mediante técnicas de acceso inicial descritas en el framework MITRE ATT&CK (TA0001), tales como spear phishing con attachments maliciosos (T1566.001), explotación de vulnerabilidades conocidas en servicios expuestos (T1190) o abuso de credenciales comprometidas (T1078).

Una vez dentro, los atacantes realizan movimientos laterales (T1021), escalan privilegios y despliegan herramientas de reconocimiento de red (T1018). Es habitual la utilización de frameworks como Cobalt Strike para establecer persistencia y control post-explotación. En la fase de impacto (TA0040), despliegan payloads de LockBit, Qilin o Medusa, dependiendo de la infraestructura disponible y el perfil de la víctima.

El componente de doble extorsión implica la exfiltración de información sensible mediante protocolos como FTP o servicios en la nube (T1041), seguida de la amenaza de publicación en sitios de leaks controlados por los operadores de ransomware. Los indicadores de compromiso (IoC) identificados incluyen hashes de los ejecutables de ransomware, direcciones IP de C2 y dominios asociados a paneles de filtración de datos.

Impacto y Riesgos

El impacto de las operaciones conducidas por The Gentlemen es significativo, tanto a nivel económico como reputacional. Se estima que, en campañas recientes, el grupo ha afectado a organizaciones medianas y grandes de sectores como manufactura, servicios financieros y sanidad, con rescates exigidos que varían entre 200.000 y 3 millones de euros.

El uso de diferentes variantes de ransomware incrementa la superficie de ataque y complica la recuperación, ya que las herramientas de descifrado varían según la familia utilizada. Además, la doble extorsión añade una capa de presión adicional, exponiendo a las víctimas a sanciones bajo normativas como el RGPD (GDPR) y la Directiva NIS2 por posibles filtraciones de datos personales y críticos.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de ataques perpetrados por afiliados como The Gentlemen, los expertos recomiendan:

1. Aplicar parches de seguridad de forma rigurosa, especialmente en servicios expuestos a Internet.
2. Implementar autenticación multifactor (MFA) en accesos remotos y servicios críticos.
3. Monitorizar logs y comportamientos anómalos mediante soluciones EDR y SIEM, buscando patrones de acceso lateral y exfiltración de datos.
4. Realizar copias de seguridad cifradas y fuera de línea, probando periódicamente los procedimientos de restauración.
5. Formar al personal sobre phishing y técnicas de ingeniería social.

Opinión de Expertos

Investigadores de firmas como Group-IB y Mandiant destacan la capacidad de The Gentlemen para pivotar entre diferentes infraestructuras de ransomware, lo que dificulta la detección y respuesta. “El modelo RaaS ha democratizado el acceso a herramientas avanzadas, permitiendo a afiliados como The Gentlemen operar con una profesionalización comparable a la de grupos APT”, señala un analista de amenazas de Kaspersky. Además, advierten que la tendencia hacia la doble extorsión continuará creciendo, ya que maximiza el poder de coacción y los beneficios ilícitos.

Implicaciones para Empresas y Usuarios

Para los responsables de ciberseguridad en empresas, el caso de The Gentlemen subraya la necesidad de adoptar una defensa en profundidad y reforzar los controles en la cadena de suministro digital. La polivalencia de los actores afiliados exige una revisión constante de la postura de seguridad, con especial atención a la detección temprana y la respuesta coordinada. Para los usuarios, la protección de credenciales y la concienciación sobre riesgos de phishing siguen siendo esenciales.

Conclusiones

El análisis sobre The Gentlemen demuestra cómo los grupos de ransomware han evolucionado hacia un modelo de negocio flexible y altamente rentable, apoyándose en el ecosistema RaaS para maximizar su alcance y eficacia. La diversificación de técnicas y herramientas, unida a la presión de la doble extorsión, plantea desafíos crecientes para los equipos de ciberseguridad. Solo mediante una combinación de medidas técnicas, formación y colaboración sectorial será posible reducir el impacto de estas amenazas en el entorno actual.

(Fuente: feeds.feedburner.com)