Kaspersky avertizeaza ca gruparea ransomware The Gentlemen isi extinde operatiunile cu noi tipuri de malware

O noua cercetare realizata de echipa Kaspersky GReAT (Global Research and Analysis Team) asupra gruparii ransomware cunoscuta sub numele de The Gentlemen si care se afla intr-o expansiune rapida, arata ca tacticile atacatorilor au evoluat, prin dezvoltarea unor instrumente personalizate noi - un backdoor conceput pentru colectarea de informatii inainte de lansarea ransomware-ului si pentru mentinerea controlului asupra sistemelor compromise, precum si un nou executabil ransomware. Gruparea este activa la nivel global, vizand organizatii din industrii precum productia, serviciile IT, sanatatea, serviciile financiare, constructiile si logistica, conform unui comunicat de presă remis redacţiei.

The Gentlemen este o operatiune de tip Ransomware-as-a-Service (RaaS) aflata intr-o crestere accelerata, despre care se estimeaza ca a aparut la mijlocul anului 2025. Gruparea si afiliatii sai obtin, in principal, acces initial la sistemele victimelor prin exploatarea serviciilor expuse pe internet si prin utilizarea unor credentiale compromise. Este posibil ca atacatorii sa caute colaborari cu brokeri de acces initial (Initial Access Brokers - IAB) pentru a obtine acces la organizatii care detin proprietate intelectuala valoroasa, cu un efort minim. Kaspersky a constatat ca accesul la unele sisteme compromise, folosind tehnici pe care gruparea nu le utilizeaza in mod obisnuit, a avut loc cu mult inainte de infectarea cu ransomware. Acest lucru sugereaza ca accesul initial nu a fost realizat de The Gentlemen, ci de un alt actor de amenintare, posibil un IAB.

Spre deosebire de multe alte grupari RaaS, The Gentlemen demonstreaza un nivel ridicat de sofisticare, utilizand instrumente personalizate si tactici flexibile de compromitere. Cercetatorii Kaspersky au identificat un backdoor necunoscut anterior, dezvoltat special de atacatori si scris in limbajul Go, care a fost implementat cu o zi inainte de executarea ransomware-ului. Acest implant colecteaza informatii despre gazda si retea si isi ascunde fereastra de consola pentru a evita detectarea. Capacitatile sale includ comunicarea bidirectionala cu atacatorii, executarea de comenzi controlate de server si activitati de recunoastere, permitand extinderea si adaptarea operatiunilor in mediul compromis.

Kaspersky a descoperit, de asemenea, o noua varianta de ransomware scrisa in limbajul C, care a afectat un numar limitat de victime din mediul corporativ. Desi The Gentlemen a utilizat pana acum un implant ransomware dezvoltat in Go si conceput pentru utilizare multiplatforma, noua varianta bazata pe C pare sa fie orientata exclusiv catre sistemele Windows. Este posibil ca gruparea sa testeze acest malware in medii reale, pe masura ce isi extinde arsenalul tehnic.

Un aspect notabil este ca, in cadrul atacurilor sale, gruparea The Gentlemen a incercat sa elimine solutiile de securitate Kaspersky folosind kavrmvr.exe (un instrument conceput pentru dezinstalarea produselor Kaspersky). Cu toate acestea, solutia Kaspersky a ramas activa, iar tentativa atacatorilor a fost blocata si semnalata ca activitate periculoasa.

Cu ocazia Zilei Internationale Anti-Ransomware, pe 12 mai, Kaspersky a publicat un raport care ofera o imagine de ansamblu asupra celor mai recente tendinte din domeniul ransomware. Potrivit datelor Kaspersky Security Network, in 2025 America Latina a inregistrat cea mai mare pondere a organizatiilor in care au fost detectate atacuri ransomware (8,13%), urmata de regiunea Asia-Pacific (7,89%), Africa (7,62%), Orientul Mijlociu (7,27%), Comunitatea Statelor Independente - CSI (5,91%) si Europa (3,82%).

Kaspersky recomanda organizatiilor sa adopte urmatoarele masuri pentru a se proteja impotriva ransomware-ului:

• Actualizati permanent software-ul pe toate dispozitivele utilizate, pentru a preveni exploatarea vulnerabilitatilor si infiltrarea retelei de catre atacatori.

• Concentrati-va strategia de aparare pe detectarea miscarilor laterale in retea si a exfiltrarii de date catre internet. Acordati o atentie deosebita traficului de iesire pentru a identifica eventualele conexiuni ale infractorilor cibernetici la reteaua organizatiei. Implementati copii de siguranta offline care nu pot fi modificate de atacatori si asigurati-va ca acestea pot fi accesate rapid atunci cand este necesar sau in situatii de urgenta.

• Companiile se pot proteja prin implementarea unor solutii anti-APT si EDR, care ofera capabilitati avansate de descoperire si detectare a amenintarilor, investigare si remediere rapida a incidentelor. De asemenea, organizatiile ar trebui sa ofere echipelor SOC acces la cele mai recente informatii despre amenintari si sa investeasca in formarea continua a acestora prin programe profesionale de training. Toate aceste capabilitati sunt disponibile in cadrul Kaspersky Next.