The Gentlemen ransomware: oltre 320 vittime e botnet da oltre 1.570 aziende
Il gruppo The Gentlemen diventa il secondo ransomware più attivo del 2026. Oltre 320 vittime e una botnet pronta: ecco il modello criminale che attrae affiliat…
Contenuto
The Gentlemen è il secondo gruppo ransomware più attivo del 2026 con un elenco di oltre 320 vittime pubblicate ad aprile e una botnet scoperta da Check Point Research che coinvolge oltre 1.570 potenziali aziende. L'ascesa del gruppo, emerso a metà del 2025, segnala un cambio di passo nel modello criminale Ransomware-as-a-Service (RaaS), trainato da incentivi economici aggressivi per gli affiliati.
Il modello criminale: l'offerta del 90% agli affiliati
La rapida espansione di The Gentlemen non è casuale. Il gruppo ha introdotto una strategia di mercato criminale che sta attirando operatori esperti da altre organizzazioni: concede agli affiliati una quota del 90% su ogni riscatto pagato. Questa percentuale è significativamente superiore al standard del settore, dove la maggior parte dei programmi Ransomware-as-a-Service offre un dividendo dell'80%. La differenza del 10% rappresenta un incentivo concreto per gli attaccanti più sofisticati, che dispongono di strumenti per la neutralizzazione degli EDR e operano secondo processi collaudati.
Secondo Check Point Research, gli affiliati verificati non stanno improvvisando, ma eseguono un processo documentato e testato, progettato per massimizzare l'impatto prima che i difensori possano reagire. Questo livello di professionalità tecnica, unito alla piattaforma che supporta attacchi su Windows, Linux, NAS, BSD e ambienti ESXi, rende il gruppo particolarmente versatile e pericoloso.
I numeri dell'emergenza: vittime e botnet scoperta
Il ritmo di crescita di The Gentlemen è paragonabile ai primi anni di LockBit, uno dei gruppi storici più noti nel settore. Dei oltre 320 nominativi pubblicati sul sito di leak ad aprile 2026, ben 240 sono apparsi solo nei primi mesi dell'anno. A conferma della scala operativa, durante un intervento di risposta agli incidenti, i ricercatori di Check Point hanno scoperto una botnet composta da oltre 1.570 potenziali vittime aziendali, pronte per essere sfruttate.
La maggior parte dei gruppi di ransomware che emergono scompaiono nel giro di pochi mesi. The Gentlemen non sta però seguendo questo copione, come sottolineato dagli analisti di Check Point Research tramite TechByte. La capacità di mantenere una botnet di tali dimensioni suggerisce un'infrastruttura solida e una pianificazione a lungo termine da parte degli operatori.
Settori colpiti e assenza di limiti etici
L'analisi dei bersagli rivela un approccio principalmente opportunistico. Gli attacchi sfruttano infrastrutture esposte e vulnerabili rivolte a Internet, incluse VPN, gateway di accesso remoto e portali di gestione dei firewall. Le aziende manifatturiere e tecnologiche costituiscono la maggior parte delle vittime, ma il dato più allarmante riguarda il settore sanitario, terzo più frequentemente preso di mira. A differenza di altri gruppi criminali che evitano gli ospedali per non attirare l'attenzione delle forze dell'ordine, The Gentlemen non mostra limiti etici, colpendo indiscriminatamente organizzazioni critiche.
Geograficamente, gli Stati Uniti rappresentano il maggior numero di vittime, seguiti da Regno Unito e Germania. Il gruppo mantiene un account X/Twitter attivo per pubblicare informazioni sulle vittime, aumentando la pressione al pagamento tramite una strategia di doppia estorsione mediatica.
Tecniche di negoziazione e comunicazione
Le trattative con le vittime avvengono tramite un protocollo di messaggistica peer-to-peer con cifratura end-to-end, una caratteristica tecnica che mira a proteggere le comunicazioni criminali da intercettazioni. L'approccio operativo punta sulla rapidità: gli affiliati penetrano le reti attraverso vulnerabilità esposte, neutralizzano le difese locali e procedono alla cifratura e all'esfiltrazione dei dati in tempi ridotti.
Domande frequenti
- Cos'è The Gentlemen ransomware?
- The Gentlemen è un gruppo ransomware emerso a metà del 2025 che opera secondo il modello Ransomware-as-a-Service (RaaS). Ad aprile 2026 risultava essere il secondo gruppo più attivo dell'anno, con oltre 320 vittime pubblicate.
- Perché The Gentlemen sta crescendo così velocemente?
- La crescita è dovuta principalmente al modello economico offerto agli affiliati, che ricevono il 90% del riscatto pagato contro l'80% standard del mercato. Questo attrae operatori esperti dotati di strumenti avanzati per aggirare le difese.
- Quali settori colpisce The Gentlemen?
- Il gruppo colpisce principalmente aziende manifatturiere e tecnologiche, ma rappresenta una minaccia concreta anche per il settore sanitario, non osservando i limiti etici che altri gruppi criminali solitamente rispettano.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://www.securityopenlab.it/video/6343/the-gentlemen-il-ransomware-in-rapida-ascesa.html
- https://www.techbyte.it/news/the-gentlemen-minaccia-ransomware/
- https://www.wired.it/article/the-gentlemen-cybergang-sicurezza-informatica-aziende/
- https://www.ilcorrieredellasicurezza.it/the-gentlemen-una-nuova-minaccia-ransomware-in-rapida-ascesa/
- https://www.cybersecurity360.it/news/the-gentlemen-loperazione-ransomware-as-a-service-piu-attiva-nel-2026/