AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**The Gentlemen: el grupo de ransomware evoluciona con backdoors personalizados y amplía su alcance operativo**

### Introducción

El panorama del cibercrimen continúa evolucionando a un ritmo vertiginoso, y los grupos de ransomware amplían sus capacidades técnicas para maximizar el impacto de sus campañas. Una reciente investigación llevada a cabo por el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha puesto el foco sobre “The Gentlemen”, un grupo de ransomware en rápida expansión, que ha demostrado una notable madurez operativa mediante el desarrollo y despliegue de herramientas personalizadas, en especial backdoors diseñados a medida para facilitar actividades de exfiltración y persistencia en entornos comprometidos.

### Contexto del Incidente o Vulnerabilidad

The Gentlemen, identificado por primera vez en 2023, ha escalado rápidamente en notoriedad dentro del ecosistema de amenazas, posicionándose como una de las facciones emergentes más relevantes. Tradicionalmente, estos grupos empleaban kits de ransomware como servicio (RaaS) ampliamente disponibles. Sin embargo, los analistas de Kaspersky detectaron recientemente un cambio cualitativo: el desarrollo interno de malware, especialmente puertas traseras específicas para sus campañas, lo que indica mayores recursos y sofisticación táctica.

Las operaciones de The Gentlemen han afectado principalmente a organizaciones en Europa y Norteamérica, con un marcado interés en los sectores financiero, manufacturero y tecnológico. El grupo se caracteriza por utilizar técnicas de doble extorsión: cifrado de datos y amenaza de filtración pública en caso de no recibir el rescate.

### Detalles Técnicos

La investigación de GReAT ha identificado la presencia de una nueva puerta trasera personalizada que The Gentlemen utiliza como vector de acceso inicial y persistencia. El backdoor, aún sin CVE asignado debido a su desarrollo exclusivo, está diseñado para operar en sistemas Windows 10 y 11, aunque se han detectado variantes experimentales para entornos Linux.

**Vectores de ataque y TTPs (MITRE ATT&CK):**

– **Acceso inicial:** spear phishing con archivos adjuntos maliciosos (T1566.001) y explotación de vulnerabilidades en servicios expuestos (T1190).
– **Ejecución:** uso de scripts PowerShell ofuscados (T1059.001), y payloads empaquetados en MSIX malicioso.
– **Persistencia:** creación de tareas programadas y modificación de claves de registro (T1053.005, T1547.001).
– **Evasión:** técnicas de living-off-the-land (LOL), uso de binarios legítimos del sistema y ofuscación de código (T1070.004).
– **Exfiltración:** tunneling a través de servicios cloud y canales cifrados personalizados (T1041).

**Indicadores de compromiso (IoC):**

– Hashes SHA256 de los ejecutables del backdoor.
– Dominios C2 registrados recientemente en TLDs exóticos (.xyz, .top).
– Uso de frameworks como Metasploit y Cobalt Strike en fases iniciales, aunque el payload final es de desarrollo propio.
– Comunicaciones cifradas mediante TLS auto-firmado y patrones de tráfico inusuales en horarios no laborales.

### Impacto y Riesgos

La expansión de The Gentlemen hacia herramientas personalizadas incrementa exponencialmente el riesgo para las organizaciones objetivo. Al no depender de malware genérico, los mecanismos de detección tradicionales basados en firmas son menos eficaces. El despliegue de puertas traseras propias permite mantener el acceso en redes comprometidas incluso tras acciones de contención, y facilita la exfiltración masiva de datos sensibles.

Según Kaspersky, el 18% de los incidentes de ransomware reportados en el primer trimestre de 2024 en Europa occidental muestran algún indicador relacionado con The Gentlemen, con rescates solicitados que oscilan entre 200.000 y 1,2 millones de euros. El impacto económico potencial supera los 100 millones de euros en pérdidas directas y costes asociados a la recuperación, sin incluir posibles sanciones bajo el RGPD (hasta el 4% de la facturación anual) y obligaciones impuestas por la Directiva NIS2.

### Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a The Gentlemen y su nueva generación de malware, los expertos recomiendan:

– **Actualización urgente** de sistemas operativos y software, especialmente servicios expuestos a internet.
– **Implementación de EDR/XDR avanzado** con capacidades de detección por comportamiento y análisis heurístico.
– **Segmentación de red** y revisión de políticas de acceso privilegiado (PAM).
– **Backups offline** y pruebas periódicas de restauración.
– **Monitorización de logs y análisis de tráfico** para identificar patrones anómalos.
– **Formación continua** en ciberseguridad para empleados, poniendo el foco en la identificación de phishing avanzado.

### Opinión de Expertos

Eugene Kaspersky, CEO de la compañía homónima, destaca: “La profesionalización de grupos como The Gentlemen demuestra que el ransomware ha evolucionado hacia una amenaza persistente y altamente dirigida. La detección proactiva y la inteligencia de amenazas contextualizada son hoy más críticas que nunca”.

Por su parte, analistas de ENISA y el CCN-CERT advierten que “la proliferación de puertas traseras personalizadas complica la atribución y la respuesta a incidentes, requiriendo colaboración internacional y un enfoque zero trust en las organizaciones”.

### Implicaciones para Empresas y Usuarios

La personalización del malware y las TTPs de The Gentlemen suponen un desafío creciente para los equipos de seguridad. Las empresas deben revisar y reforzar sus planes de respuesta ante incidentes, así como el cumplimiento con RGPD y NIS2, ya que la exposición de datos personales o sensibles puede conllevar sanciones regulatorias y dañar irreversiblemente la reputación corporativa. Los usuarios finales, por su parte, deben extremar la precaución ante correos sospechosos y mantener sus sistemas actualizados.

### Conclusiones

La adopción de puertas traseras desarrolladas a medida por parte de The Gentlemen marca un salto cualitativo en la evolución del ransomware. Ante la creciente sofisticación de estos actores, la defensa en profundidad, la inteligencia de amenazas y la colaboración entre sector público y privado se consolidan como pilares fundamentales para la ciberresiliencia de las organizaciones.

(Fuente: www.cybersecuritynews.es)