The Gentlemen Ransomware se cobra 478 víctimas y puede propagarse como un gusano

Por:
En:
En: Noticias
Etiquetado: , , , , , , ,
Con: 0 comentarios

Ravie Lakshmanan11 de junio de 2026Cibercrimen/ransomware

Un nuevo análisis de los caballeros La operación ha revelado que el grupo de amenazas con motivación financiera operó inicialmente como un afiliado responsable de realizar ataques de doble extorsión, mientras aprovechaba recursos de varios esquemas de ransomware como servicio (RaaS) como LockBit (también conocido como Tenacious Mantis), Qilin (también conocido como Pestilent Mantis) y Medusa (también conocido como Venomous Mantis).

Según un informe detallado publicado por PRODAFT, el grupo, al que rastrea como Phantom Mantis, está dirigido por un cibercriminal de habla rusa al que llama LARVA-368, que utiliza los alias en línea hastalamuerte, ArmCorp, zeta88, nadie0 y santamuerte. los caballeros se sabe que está activo desde marzo de 2025, cobrando un total de 478 víctimas hasta la fecha, por datos de Ransomware.Live.

«En julio de 2025, Phantom Mantis pasó a formar parte de The Gentlemen, un programa de asociación independiente que ya no depende de otros grupos RaaS», dijo la empresa suiza de ciberseguridad. «Además, LARVA-368 depende en gran medida de la inteligencia artificial para el desarrollo y mantenimiento de ransomware y herramientas, así como para la asistencia con los procedimientos posteriores a la explotación».

En cuanto a LARVA-368, se estima que el actor de amenazas fue miembro del grupo de ransomware Embargo (también conocido como Primeval Mantis) antes de lanzar su propia operación bajo el nombre de ArmCorp. Posteriormente, cuatro meses después, pasó a llamarse The Gentlemen.

Ciberseguridad

Desde entonces, la identidad del individuo ha sido descubierto por el periodista de ciberseguridad Brian Krebs como Alexander Andreevich Yapaev (Япаев Алексанр Андреевич), de 36 años, de la ciudad rusa de Izhevsk. PRODAFT dijo a The Hacker News que sus hallazgos coinciden con la misma persona con «alta confianza».

Como detalló Dark Atlas en agosto de 2025, el cambio coincidió con una disputa de pago entre LARVA-368 y Qilin, en la que el actor de amenazas acusó a la operación RaaS de llevar a cabo una estafa de salida y defraudarlos por 48.000 dólares.

«Aunque Phantom Mantis era un grupo afiliado muy activo con más de 20 objetivos registrados en su panel de afiliados en menos de 30 días, el administrador del grupo (LARVA-368) y LARVA-367 (también conocido como DevMan), un ex miembro de Phantom Mantis, afirmó que Pestilent Mantis estaba estafando a los afiliados y que había una supuesta 'puerta trasera' dentro de los chats de víctimas del panel de afiliados de Pestilent Mantis», señaló PRODAFT.

«Aunque no pudimos confirmar estas afirmaciones, existe la posibilidad de que LARVA-368 y LARVA-367 difundan intencionalmente desinformación con la intención de reclutar afiliados de Pestilent Mantis para Phantom Mantis desacreditando al grupo».

También se ha observado que Phantom Mantis paga por cuentas Premium en foros clandestinos para aumentar su visibilidad y defenderse de la competencia, con la comunicación del grupo y el soporte técnico a cargo de una persona separada de habla rusa llamada The Gentlemen Data.

Algunos de los otros aspectos destacados del plan de extorsión compilados a partir de varios informes son los siguientes:

  • En un análisis del ransomware realizado a finales del año pasado, el equipo Cybereason de LevelBlue descrito The Gentlemen como una «operación de ransomware altamente adaptable y de rápido movimiento» que combina técnicas de ransomware maduras con características RaaS, doble extorsión, casilleros multiplataforma, propagación flexible y soporte para afiliados.
  • el grupo tiene surgió como uno de los actores de amenazas más activos, representando el 10% de la actividad de ransomware en abril de 2026. «The Gentlemen sigue una cadena centrada en la empresa que comienza con el acceso inicial, a través de servicios vulnerables de Internet o credenciales robadas», NCC Group dicho. «El análisis sugiere que The Gentlemen puede adaptarse y cambiar tácticas durante un ataque, como manipular GPO, comprometer cuentas privilegiadas y utilizar métodos personalizados para eludir las protecciones de los terminales».
  • Sólo sobre 13% de sus víctimas tienen su sede en los EE. UU. La mayoría de las víctimas se concentran en Tailandia, el Reino Unido, Brasil, Alemania y la India.
  • LARVA-368 utiliza las cuentas de la aplicación The Gentlemen IM para ayudar a los afiliados con respecto al cifrado y cualquier problema relacionado con la intrusión, como proporcionar eliminadores de EDR para eludir las soluciones de seguridad mediante la técnica de traer su propio controlador vulnerable (BYOVD).
  • Los servicios de soporte para The Gentlemen y The Gentlemen Data están disponibles a través de las plataformas de mensajería de código abierto Tox, SimpleX Chat y Ricochet Refresh.
  • Los afiliados potenciales deben proporcionar al administrador al menos 1 GB de datos extraídos de una víctima para obtener acceso al panel de afiliados, una táctica diseñada para evitar que los investigadores y las autoridades policiales obtengan acceso a la infraestructura bajo la apariencia de un afiliado. El panel de afiliados admite la gestión de usuarios, la configuración de nuevos objetivos y la descarga de ransomware a un objetivo específico.
  • Phantom Mantis ofrece cinco versiones de ransomware diseñadas para Windows, Linux, ESXi, Windows XP+ y Logical Volume Manager (LVM).
  • El grupo corteja a los afiliados con un modelo agresivo de participación en las ganancias: 90% para los afiliados y 10% para el operador.
  • El acceso inicial se obtiene a través de dispositivos periféricos, como dispositivos VPN, firewalls y otros sistemas conectados a Internet, con un enfoque específico en plataformas como Cisco y Fortinet FortiGate.
  • Las cadenas de infección implican el uso de utilidades del equipo rojo como NetExec, RelayKing, TaskHound, PrivHound y CertiHound para realizar descubrimiento de Active Directory, abuso de certificados, escalada de privilegios y descubrimiento de archivos compartidos. Se utiliza un conjunto separado de herramientas, como EDRStartupHinder, gfreeze, glinker y DumpBrowserSecrets, para evadir programas de seguridad, mientras que Velociraptor se emplea para comando y control (C2).
  • Los ataques también intentar para borrar los registros de eventos de Windows del sistema, aplicaciones y seguridad, deshabilitar Microsoft Defender y agregar exclusiones de antivirus.
  • El ransomware hace uso de un esquema criptográfico híbrido: Intercambio de claves X25519 combinado con cifrado simétrico XChaCha20.
  • Microsoft, que está rastreando el clúster bajo el nombre de Storm-2697, dijo que el ransomware está escrito en Go y ofuscado con Garble para apuntar al entorno de Windows. «Cuando se habilita con el argumento –spread, convierte el malware de un cifrador de un solo host en un gusano autopropagador que intenta implementar su cifrado en todos los sistemas accesibles en la red», dijo el gigante tecnológico. dicho. «Si se proporciona el argumento –wipe, el ransomware The Gentlemen realiza una rutina adicional posterior al cifrado para eliminar los artefactos recuperables del disco».
  • Según ZeroFox, el equipo de ransomware probablemente lleva a cabo una operación de extorsión multicanal, combinando ataques de ransomware con comunicación por correo electrónico y tácticas de presión telefónica dirigidas a las víctimas.
  • El grupo implementa un «ciclo de desarrollo altamente responsivo», aspecto ejemplificado por el lanzamiento de un parche el mismo día después de un descifrador fue lanzado en abril de 2026.
  • El tiempo medio de permanencia de una intrusión varía de dos a seis semanas desde el acceso inicial hasta el cifrado, y el grupo se centra especialmente en organizaciones que ejecutan infraestructura VMware.

El mes pasado, un filtración de un base de datos interna de Rocket.Chat utilizado por el grupo, que comprende 3.366 mensajes entre noviembre de 2025 y finales de abril de 2026, ha arrojar más luz sobre el funcionamiento interno del grupo, incluido el uso de fallas de seguridad conocidas en el software VMware Aria Operations, Fortinet, Cisco y Microsoft, al tiempo que presenta una imagen de una empresa criminal cuyos miembros tienen una clara división de roles y responsabilidades.

Ciberseguridad

«El grupo rastrea y evalúa activamente las vulnerabilidades modernas, incluidas CVE-2024-55591, CVE-2025-32433y CVE-2025-33073y los combina con rutas basadas en técnicas como respaldo y abuso de controladores de administración y flujos de trabajo de retransmisión NTLM, brindándoles un canal de explotación flexible», Check Point dicho.

Eso no es todo. En marzo de 2026, Hunt.io dicho descubrió un directorio abierto alojado en «176.120.22[.]127:80» en el proveedor ruso de alojamiento a prueba de balas Proton66 que expuso 126 archivos que contenían un conjunto completo de herramientas de operador de ransomware atribuido a un afiliado de The Gentlemen RaaS.

Esto incluía herramientas de reconocimiento, escalada de privilegios, evasión de defensa, robo de credenciales, movimiento lateral, persistencia y preparación previa al cifrado, que esencialmente abarcaban todas las fases del ciclo de vida de la intrusión.

«LARVA-368 es un actor de amenazas especializado en actividades relacionadas con la extorsión y ha estado activo desde al menos 2020», dijo PRODAFT. «La experiencia adquirida a través de colaboraciones anteriores con varios grupos de RaaS proporcionó la base técnica necesaria para establecer The Gentlemen RaaS».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *