Ransomware TheGentlemen

Entre agosto y septiembre del 2025 se detectó una campaña de ransomware previamente desconocida. Estos actores de amenaza, que se hacen llamar TheGentlemen, llamaron rápidamente la atención por sus ataques sofisticados demostrando habilidades avanzadas y una gran versatilidad, actualizando sus herramientas en el transcurso de su campaña y creando variantes de ataques especializadas para cada caso. Hasta la fecha han tenido 35 víctimas de las cuales 11 han sido empresas latinoamericanas, incluyendo países como: Colombia, Argentina, Uruguay, Chile, Panamá y Venezuela.  

 

Se conocen algunas de sus tácticas, especialmente hacer un reconocimiento avanzado de sus posibles víctimas, no solo para conocer vectores de ataque, sino también para llevar a cabo ataques personalizados. Suelen llevar a cabo reconocimiento a fondo en busca de endpoints vulnerables, explotar controladores firmados y legítimos, abusar de Objetos de Directiva de Grupo (Group Policy Objects) para atacar todo un dominio y crear herramientas especializadas según el entorno. El grupo utiliza el controlador ThrottleStop.sys, que renombran como ThrottleBlood.sys, y que aparece firmado digitalmente y es exactamente igual al original que es utilizado para controlar el uso de CPU, esto les permite evadir fácilmente la verificación de Windows, así como explotar una vulnerabilidad conocida del controlador (CVE-2025-7771) para manipular procesos a nivel de kernel y desactivar protecciones del sistema. 

 

TheGentlemen utiliza algunas herramientas ya conocidas, tales como AllPatch2.exe, que se utiliza para neutralizar componentes de seguridad y terminar procesos relevantes, y PowerRun.exe, una herramienta legítima que se utiliza para escalar privilegios en el sistema. Para exfiltración de información, utilizan herramientas confiables y poco sospechosas, permitiendo la creación de un camino confiable y robusto para la información, como AnyDesk, WinSCP o WebDAV. Llevan a cabo una exfiltración mediante mecanismos que pueden camuflarse entre tráfico confiable, de forma encriptada y de forma distribuida en caso de que alguna de las herramientas falle o sea detectada. 

El grupo siempre deja una nota con advertencias e información de contacto, entre ella un sitio web donde publican a sus víctimas: 

 

Nota de rescate del ransomware TheGentlemen [1] 

 

 

Sitio de filtraciones del ransomware TheGentlemen [2] 
 

En resumen, utilizan técnicas avanzadas de reconocimiento dentro y fuera de la red vulnerable; cada ataque es personalizado según el ambiente empresarial; tienen el suficiente conocimiento para evadir y desactivar mecanismos de detección, permitiendo un movimiento lateral rápido, y la habilidad para crear herramientas especializadas rápidamente. 

 

TheGentlemen podría ser el cambio de nombre de una campaña formada por actores de amenaza con mucha experiencia, o un nuevo grupo con suficientes recursos, que se centra en la industria manufacturera, seguida de la construcción, salud y seguros. 

 

Taxonomía  

Tactic	ID	Name
Initial access	T1190	Exploit Public-Facing Application
	T1078.002	Valid Accounts: Domain Accounts
Discovery	T1046	Network Service Discovery
	T1018	Remote System Discovery
	T1087.002	Account Discovery: Domain Account
	T1069.002	Permission Groups Discovery: Domain Groups
	T1482	Domain Trust Discovery
Execution	T1059.003	Command and Scripting Interpreter: Windows Command Shell
	T1059.001	Command and Scripting Interpreter: PowerShell
Defense evasion	T1562.001	Impair Defenses: Disable or Modify Tools
	T1014	Rootkit
	T1112	Modify Registry
	T1562.004	Impair Defenses: Disable or Modify System Firewall
	T1027	Obfuscated Files or Information
Privilege escalation	T1484.001	Domain or Tenant Policy Modification: Group Policy Modification
Persistence	T1219	Remote Access Software
	T1112	Modify Registry
Lateral movement	T1021.002	Remote Services: SMB/Windows Admin Shares
	T1021.001	- Remote Services: Remote Desktop Protocol
	T1021.004	Remote Services: SSH
Collection	T1074.001	Data Staged: Local Data Staging
	T1039	Data from Network Shared Drive
Command and control	T1219	Remote Access Software used for C&C server
	T1071.001	Application Layer Protocol: Web Protocols
Exfiltration	T1048.001	Exfiltration Over Alternative Protocol: Exfiltration Over Symmetric Encrypted Non-C2 Protocol
Impact	T1486	Data Encrypted for Impact
	T1489	Service Stop

 

Indicadores de compromiso: 

IOC	Tipo
c0979ec20b87084317d1bfa50405f7149c3b5c5f	SHA1
e00293ce0eb534874efd615ae590cf6aa3858ba4	SHA1

 

Recomendaciones

• En caso de contar con alguna de las vulnerabilidades que el grupo TheGentlemen explota, siga las recomendaciones y versiones parcheadas de los boletines publicados. 

• Implementar una arquitectura basada en Zero Trust. 

• Priorizar el aseguramiento y monitoreo de endpoints. 

• Monitorear y restringir herramientas de acceso remoto no autorizadas. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactorial. 

 

Referencias

1. Ransomware upstart ‘The Gentlemen’ raises the stakes for OTheavy sectors. (2025, September 10). CSO Online. Recuperado el 12 de septiembre de 2025, en: https://www.csoonline.com/article/4054790/ransomware-upstart-the-gentlemen-raises-the-stakes-for-ot%e2%80%91heavy-sectors.html  
2. Santos, J., Policarpio, M., Ladores, D. O., & Dela Cruz, J. (2025, September 9). Unmasking the gentlemen ransomware: Tactics, techniques, and procedures revealed. Trend Micro. Recuperado el 12 de septiembre de 2025, en: https://www.trendmicro.com/en_gb/research/25/i/unmasking-the-gentlemen-ransomware.html  
3. Wright, R. (2025, September 11). “Gentlemen” Ransomware Abuses Vulnerable Driver to Kill Security Gear. Dark Reading. Recuperado el 12 de septiembre de 2025, en: https://www.darkreading.com/vulnerabilities-threats/gentlemen-ransomware-vulnerable-driver-security-gear  

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios