Un nuevo grupo de ransomware llamado The Gentlemen fue identificado por la empresa de ciberseguridad Trend Micro, luego de detectar en agosto una campaña activa en la región de Asia-Pacífico. Según los investigadores, esta operación representa una amenaza significativa para las organizaciones debido a sus avanzadas técnicas de evasión.

A diferencia de otros grupos que recurren a métodos genéricos contra antivirus, The Gentlemen desarrolla tácticas personalizadas para cada objetivo, adaptando sus herramientas incluso en pleno curso de la campaña. Esto demuestra un nivel de versatilidad y determinación que eleva el riesgo para cualquier objetivo, independientemente de su nivel de protección.

Hasta el momento, el grupo ha atacado al menos 17 organizaciones de sectores como la manufactura, construcción, salud y seguros. La mayoría de los incidentes se registraron en Tailandia, aunque también hubo casos en Estados Unidos. Por lo sofisticado y la escala de los ataques, los analistas sospechan que podría tratarse de un rebranding de atacantes experimentados o de una red cibercriminal bien financiada.

El acceso inicial suele lograrse mediante explotación de servicios expuestos en internet o credenciales robadas. Una vez dentro, los atacantes utilizan herramientas como Advanced IP Scanner para mapear la red, además de scripts diseñados para identificar puntos críticos dentro de la infraestructura.

La personalización también se refleja en su capacidad de neutralizar defensas: emplean utilidades creadas para desactivar herramientas de seguridad en los endpoints. Asimismo, aprovechan PsExec para moverse lateralmente en la red y manipulan herramientas de gestión de políticas de grupo, con el fin de propagar el ransomware de forma controlada.

Finalmente, para ocultar sus huellas, eliminan rastros de Windows Defender, registros de escritorio remoto y archivos de la papelera de reciclaje, llegando incluso a ejecutar un script que borra tanto el malware como a sí mismo. Según Trend Micro, este enfoque marca una evolución en el ecosistema del ransomware: ataques cada vez más a medida y difíciles de detectar, prevenir o contener.

Fuente Gov Info Security