O nouă cercetare realizată de echipa Kaspersky GReAT (Global Research and Analysis Team) asupra grupării ransomware cunoscută sub numele de The Gentlemen și care se află într-o expansiune rapidă, arată că tacticile atacatorilor au evoluat, prin dezvoltarea unor instrumente personalizate noi – un backdoor conceput pentru colectarea de informații înainte de lansarea ransomware-ului și pentru menținerea controlului asupra sistemelor compromise, precum și un nou executabil ransomware. Gruparea este activă la nivel global, vizând organizații din industrii precum producția, serviciile IT, sănătatea, serviciile financiare, construcțiile și logistica.
The Gentlemen este o operațiune de tip Ransomware-as-a-Service (RaaS) aflată într-o creștere accelerată, despre care se estimează că a apărut la mijlocul anului 2025. Gruparea și afiliații săi obțin, în principal, acces inițial la sistemele victimelor prin exploatarea serviciilor expuse pe internet și prin utilizarea unor credențiale compromise. Este posibil ca atacatorii să căute colaborări cu brokeri de acces inițial (Initial Access Brokers – IAB) pentru a obține acces la organizații care dețin proprietate intelectuală valoroasă, cu un efort minim. Kaspersky a constatat că accesul la unele sisteme compromise, folosind tehnici pe care gruparea nu le utilizează în mod obișnuit, a avut loc cu mult înainte de infectarea cu ransomware. Acest lucru sugerează că accesul inițial nu a fost realizat de The Gentlemen, ci de un alt actor de amenințare, posibil un IAB.
Spre deosebire de multe alte grupări RaaS, The Gentlemen demonstrează un nivel ridicat de sofisticare, utilizând instrumente personalizate și tactici flexibile de compromitere. Cercetătorii Kaspersky au identificat un backdoor necunoscut anterior, dezvoltat special de atacatori și scris în limbajul Go, care a fost implementat cu o zi înainte de executarea ransomware-ului. Acest implant colectează informații despre gazdă și rețea și își ascunde fereastra de consolă pentru a evita detectarea. Capacitățile sale includ comunicarea bidirecțională cu atacatorii, executarea de comenzi controlate de server și activități de recunoaștere, permițând extinderea și adaptarea operațiunilor în mediul compromis.
Kaspersky a descoperit, de asemenea, o nouă variantă de ransomware scrisă în limbajul C, care a afectat un număr limitat de victime din mediul corporativ. Deși The Gentlemen a utilizat până acum un implant ransomware dezvoltat în Go și conceput pentru utilizare multiplatformă, noua variantă bazată pe C pare să fie orientată exclusiv către sistemele Windows. Este posibil ca gruparea să testeze acest malware în medii reale, pe măsură ce își extinde arsenalul tehnic.
Un aspect notabil este că, în cadrul atacurilor sale, gruparea The Gentlemen a încercat să elimine soluțiile de securitate Kaspersky folosind kavrmvr.exe (un instrument conceput pentru dezinstalarea produselor Kaspersky). Cu toate acestea, soluția Kaspersky a rămas activă, iar tentativa atacatorilor a fost blocată și semnalată ca activitate periculoasă.
Cu ocazia Zilei Internaționale Anti-Ransomware, pe 12 mai, Kaspersky a publicat un raport care oferă o imagine de ansamblu asupra celor mai recente tendințe din domeniul ransomware. Potrivit datelor Kaspersky Security Network, în 2025 America Latină a înregistrat cea mai mare pondere a organizațiilor în care au fost detectate atacuri ransomware (8,13%), urmată de regiunea Asia-Pacific (7,89%), Africa (7,62%), Orientul Mijlociu (7,27%), Comunitatea Statelor Independente – CSI (5,91%) și Europa (3,82%).
Kaspersky recomandă organizațiilor să adopte următoarele măsuri pentru a se proteja împotriva ransomware-ului:
- Actualizați permanent software-ul pe toate dispozitivele utilizate, pentru a preveni exploatarea vulnerabilităților și infiltrarea rețelei de către atacatori.
- Concentrați-vă strategia de apărare pe detectarea mișcărilor laterale în rețea și a exfiltrării de date către internet. Acordați o atenție deosebită traficului de ieșire pentru a identifica eventualele conexiuni ale infractorilor cibernetici la rețeaua organizației. Implementați copii de siguranță offline care nu pot fi modificate de atacatori și asigurați-vă că acestea pot fi accesate rapid atunci când este necesar sau în situații de urgență.
- Companiile se pot proteja prin implementarea unor soluții anti-APT și EDR, care oferă capabilități avansate de descoperire și detectare a amenințărilor, investigare și remediere rapidă a incidentelor. De asemenea, organizațiile ar trebui să ofere echipelor SOC acces la cele mai recente informații despre amenințări și să investească în formarea continuă a acestora prin programe profesionale de training. Toate aceste capabilități sunt disponibile în cadrul Kaspersky Next.
