Ransomware TheGentlemen (Actualización)

Publicado hace 1 mes 24-04-2026

Con más de 240 víctimas en 2026, el grupo de ransomware TheGentlemen se posiciona como el segundo grupo de ransomware con más víctimas este año, apuntando principalmente contra organizaciones del sector de manufactura, tecnología y cuidado de la salud. El 10% de sus víctimas han sido de diferentes países de Latinoamérica como Mexico, Brasil, Colombia, Argentina, etc. Este ransomware es capaz de cifrar sistemas Windows, Linux, NAS, BSD y VMware ESXi.

En el sitio de filtraciones del grupo solo publican las organizaciones que se negaron a pagar para recuperar sus datos y evitar su divulgación. Sin embargo, de acuerdo con investigadores que obtuvieron acceso a un servidor de comando y control (C2) de SystemBC asociado al grupo, se encontraron más de 1570 víctimas en un botnet.

TheGentlemen opera bajo el modelo de ransomware como servicio (RaaS), es decir, ellos crean las herramientas e infraestructura, mientras que terceros afiliados llevan a cabo los ataques y comparten las ganancias. A diferencia de otras operaciones RaaS, los asociados a TheGentlemen obtienen el 90% del pago de sus víctimas, 10% más de lo que suelen manejar otras operaciones RaaS.

Se ha observado que, para obtener acceso inicial, TheGentlemen busca organizaciones con infraestructura de red vulnerable y expuesta a internet como VPNs, gateways de acceso remoto y portales de gestión de firewalls, en especial equipos FortiGate para explotar una vulnerabilidad crítica de elusión de autenticación en FortiOS (CVE-2024-55591). Asimismo, el grupo dispone de una base de datos que contiene información sobre equipos FortiGate previamente comprometidos, junto con credenciales de VPN validas.

Una vez contando con acceso inicial, el grupo usa herramientas como Nmap, Advanced IP Scanner y scripts de enumeración en Active Directory para hacer un reconocimiento de red. Después, logran moverse lateralmente con utilidades legitimas como PowerRun.exe, PsExec, PuTTY.

Usan una técnica llamada Bring Your Own Vulnerable Driver (BYOVD) en la cual usan un driver legitimo manipulado (ThrottleBlood[.]sys) para explotar vulnerabilidades (CVE-2025-7771) y obtener privilegios a nivel kernel. Asimismo, hacen reconocimiento de mecanismos de protección de endpoints por medio de herramientas personalizadas como All[.]exe y Allpatch2[.]exe. Mediante el uso de PowerShell, son capaces de deshabilitar Microsoft Defender, modificar permisos de archivos y borrar información usada en análisis forenses como Prefetch data, logs del Protocolo de Escritorio Remoto (RDP) y archivos de soporte de Microsoft Defender. Además, este grupo tiene un modelo de doble extorsión que cifra la información de las victimas al mismo tiempo que la exfiltra para presionar a las víctimas a pagar. 

Se analizó un ataque en el que, una vez que un atacante ya contaba con acceso administrativo a nivel dominio, el proceso fue rápido para validar credenciales en el entorno, realizar movimiento lateral a diferentes hosts, desactivar herramientas de seguridad y ejecutar el ransomware usando políticas de grupo para aplicarlo en todos los equipos conectados al dominio comprometido. Esto sugiere que, aunque TheGentlemen es un grupo relativamente nuevo observado por primera vez en septiembre 2025, sus procesos están documentados y probados para completar el ataque antes de que las victimas puedan hacer algo al respecto.


Taxonomía

Tactic ID Technique
Initial access T1190 Exploit Public-Facing Application
T1078.002 Valid Accounts: Domain Accounts
Discovery T1046 Network Service Discovery
T1018 Remote System Discovery
T1087.002 Account Discovery: Domain Account
T1069.002 Permission Groups Discovery: Domain Groups
T1482 Domain Trust Discovery
Execution T1059.003 Command and Scripting Interpreter: Windows Command Shell
T1059.001 Command and Scripting Interpreter: PowerShell
Defense evasion T1562.001 Impair Defenses: Disable or Modify Tools
T1014 Rootkit
T1112 Modify Registry
T1562.004 Impair Defenses: Disable or Modify System Firewall
T1027 Obfuscated Files or Information
T1484.001 Domain Policy Modification: Group Policy Modification
Privilege escalation T1484.001 Domain or Tenant Policy Modification: Group Policy Modification
T1068 Exploitation for Privilege Escalation
Persistence T1219 Remote Access Software
T1112 Modify Registry
T1547 Boot or Logon Autostart Execution
T1136 Create Account
Lateral movement T1021.002 Remote Services: SMB/Windows Admin Shares
T1021.001 Remote Services: Remote Desktop Protocol
T1021.004 Remote Services: SSH
Collection T1074.001 Data Staged: Local Data Staging
T1039 Data from Network Shared Drive
Command and control T1219 Remote Access Software used for C&C server
T1071.001 Application Layer Protocol: Web Protocols
Exfiltration T1048.001 Exfiltration Over Alternative Protocol: Exfiltration Over Symmetric Encrypted Non-C2 Protocol
Impact T1486 Data Encrypted for Impact
T1489 Service Stop

Indicadores de compromiso

IOC Tipo
fc75ed2159e0c8274076e46a37671cfb8d677af9f586224da1713df89490a958 SHA256
f736be55193c77af346dbe905e25f6a1dee3ec1aedca8989ad2088e4f6576b12 SHA256
efaf8e7422ffd09c7f03f1a5b4e5c2cc32b05334c18d1ccb9673667f8f43108f SHA256
ec368ae0b4369b6ef0da244774995c819c63cffb7fd2132379963b9c1640ccd2 SHA256
c7f7b5a6e7d93221344e6368c7ab4abf93e162f7567e1a7bcb8786cb8a183a73 SHA256
b67958afc982cafbe1c3f114b444d7f4c91a88a3e7a86f89ab8795ac2110d1e6 SHA256
a7a19cab7aab606f833fa8225bc94ec9570a6666660b02cc41a63fe39ea8b0ad SHA256
9f61ff4deb8afced8b1ecdc8787a134c63bde632b18293fbfc94a91749e3e454 SHA256
994d6d1edb57f945f4284cc0163ec998861c7496d85f6d45c08657c9727186e3 SHA256
91415e0b9fe4e7cbe43ec0558a7adf89423de30d22b00b985c2e4b97e75076b1 SHA256
8c87134c1b45e990e9568f0a3899b0076f94be16d3c40fa824ac1e6c6ee892db SHA256
87d25d0e5880b3b5cd30106853cbfc6ef1ad38966b30d9bd5b99df46098e546c SHA256
860a6177b055a2f5aa61470d17ec3c69da24f1cdf0a782237055cba431158923 SHA256
788ba200f776a188c248d6c2029f00b5d34be45d4444f7cb89ffe838c39b8b19 SHA256
62c2c24937d67fdeb43f2c9690ab10e8bb90713af46945048db9a94a465ffcb8 SHA256
5dc607c8990841139768884b1b43e1403496d5a458788a1937be139594f01dca SHA256
48d9b2ce4fcd6854a3164ce395d7140014e0b58b77680623f3e4ca22d3a6e7fd SHA256
3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235 SHA256
2ed9494e9b7b68415b4eb151c922c82c0191294d0aa443dd2cb5133e6bfe3d5d SHA256
22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67 SHA256
1eece1e1ba4b96e6c784729f0608ad2939cfb67bc4236dfababbe1d09268960c SHA256
025fc0976c548fb5a880c83ea3eb21a5f23c5d53c4e51e862bb893c11adf712a SHA256
d6aaed67606d6dab0f652c755d3d363025f60adb SHA1
8cdfedf9416ef9e50548f02e5dfa5dd5aa38c586 SHA1
8468cb5888fb383d25f9144c2b2f61c414cea3f8 SHA1
68225c5613afe2174ed46e074147676b0f9a3915 SHA1
5264a94271d875675336a503c94ece0baceb58c5 SHA1
42bcc743c71a9ea083c1c750a398110582796762 SHA1
de1a114a2c5552387a1bbb61501bf129 MD5
c9d004384de06bbc53724b1431dc0fde MD5
6ae7c9a7ea0b8c40a64225734f6bd01d MD5
5f5bf7fc7a9ac89ce0bbb07bd1160078 MD5
4200b46a93c6ab059e2b34ce200c4a5b MD5
30b49ae2f685d4403d3013410f80c2e2 MD5
992c951f4af57ca7cd8396f5ed69c2199fd6fd4ae5e93726da3e198e78bec0a5 SHA256
36d968425629b10f38be17787f8afe4b8afa131e SHA1
f4ae5b89db5a6a36dbd98287ab7c860a MD5
ef4b60f8162dfe20cb96dcae865a912e52459bb5 SHA1
ebddc99a00bd7a5dcaf7b73349309d970e5c69b8 SHA1
d875d7e99f45c87e667dbebb8d8596182bdb94df SHA1
bd79aec521aa9f0cec374d57692b540b7b5a6ea8 SHA1
af4066ca0ae65ac63de6af60f46a9b23bb6dbfee SHA1
9e951cf2f868b71aaaa05966d8eb96d333b80106 SHA1
908b39041bab41aef7b2d4d7ffdb72bb5b1e3437 SHA1
83c6c1bb37c9071e569aa4b247e54ab763bbf5da SHA1
716e39bbc93fd4b394d9e6ef7c29aef1adc7dcb5 SHA1
5d4ae46c14371e20d99b42cc0a683f8d5ec326ad SHA1
5aea74bf3e70f38eb596f8002b3c02514daee4f0 SHA1
54a207ed34d83d1f71d34d4ad538e8221ffba259 SHA1
23a468d7277902384875d4167a81164bc2bf6e72 SHA1
143cb70aede3ba09ae54e1da55c69f0129991f48 SHA1
124b943f6e82135b4d680df111ce121a200606dc SHA1
00ff099e3cf7b548a7a0260cde8ac2f24a746da2 SHA1
ffb6011e7c82355046988166dd896930 MD5
ed18c524e930cd1c34614f7cc3051dfc MD5
a2a13b8da7370f5f4753d81c7958dfcb MD5
8ee42d16a9381d726591ddc551863931 MD5
7f11809925adc6657e84165fdf780816 MD5
7b885b446bbd9b450146c88f84c64f30 MD5
7a89b347beb55f63dbcbcfc0beedbe43 MD5
7a262d4cbbc4808932b6af42c4041f06 MD5
4609cbac6772a6c61fcf2745cd3b4362 MD5
3b46a729db7ae6af8b19711c9452194d MD5
1e0f4cd09aa4464179933769b5009251 MD5
1cc9ae55b1856e4e9796c73f94c2e683 MD5
0f9cd505df07e4ebfff3fe61b689e527 MD5
0b33a1a23b044beb5c9a63aafd35595c MD5
0a454a07e071971832985701bc6e9164 MD5
05e9d6d239ea29f0427b02a9bc903be7 MD5
45[.]86[.]230[.]112 IPv4

Recomendaciones

  • Parchear infraestructura que conecta con internet como VPNs, firewalls y gateways de acceso remoto.
  • Poner a prueba capacidad de respaldo y recuperación de información.
  • Segmentar la red para limitar el alcance del atacante.
  • Monitorear posible movimiento lateral.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  1. Check Point Research. (2026, 20 abril). The Gentlemen: A New Ransomware Threat Climbing the Charts — Fast. Check Point. Recuperado el 20 de abril del 2026, en: https://blog.checkpoint.com/research/the-gentlemen-a-new-ransomware-threat-climbing-the-charts-fast/
  2. Surefire Cyber. (2026, 20 abril). The Gentlemen is a ransomware group that emerged in mid-2025, operating a double-extortion model that encrypts victim environments while exfiltrating sensitive data to increase ransom pressure.  Recuperado el 20 de abril del 2026, en: https://www.surefirecyber.com/threat-deep-dive-the-gentlemen/
  3. Kathir, M. (2026, 21 abril). Gentlemen RaaS Hits Windows, Linux, and ESXi With New C-Based Locker. GBHackers. Recuperado el 21 de abril del 2026, en: https://gbhackers.com/gentlemen-raas-hits-windows/
  4. Toulas, B. (2026, 20 abril). The Gentlemen ransomware now uses SystemBC for bot-powered attacks. Bleeping Computer. Recuperado el 21 de abril del 2026, en: https://www.bleepingcomputer.com/news/security/the-gentlemen-ransomware-now-uses-systembc-for-bot-powered-attacks/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más