Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon El ransomware The Gentlemen usa 21 técnicas de ejecución remota para cifrar redes enteras


Ha surgido una nueva cepa de ransomware llamada The Gentlemen, considerada una de las amenazas más agresivas de este año. Este malware, escrito en el lenguaje de programación Go y oculto mediante la herramienta Garble, combina un cifrado robusto con un motor de gusano autopropagable capaz de comprometer toda una red corporativa a partir de una sola máquina infectada.




Una nueva variante de ransomware llamada The Gentlemen ha surgido como una de las amenazas más agresivas rastreadas este año, combinando un cifrado fuerte con un motor de gusano de autopropagación que puede derribar toda una red corporativa desde una sola máquina infectada.

Escrito en el lenguaje de programación Go y camuflado mediante una herramienta llamada Garble, el malware apareció por primera vez a mediados de 2025 y desde entonces ha evolucionado hasta convertirse en una operación completa de ransomware como servicio (RaaS).

Lo que hace que este ransomware destaque no es solo cómo bloquea los archivos, sino hasta dónde puede llegar una vez que está dentro de una red. En lugar de limitarse a cifrar la máquina en la que aterriza, busca activamente otros ordenadores en la misma red e intenta infectarlos también.

Esta función de autopropagación convierte un solo portátil o servidor infectado en una plataforma de lanzamiento para un ataque mucho mayor.

Analistas e investigadores de Picus Security dijeron en un informe que han estado siguiendo de cerca este malware y recientemente publicaron un desglose detallado de cómo opera de principio a fin.

Su investigación muestra que el ransomware sigue una secuencia muy deliberada, comenzando con la validación de contraseñas y la escalada de privilegios, para luego pasar a la evasión de defensas, el cifrado y, finalmente, la propagación por toda la red.

El impacto hasta ahora se ha sentido en organizaciones de educación, transporte, salud y finanzas en América del Norte, América del Sur, Europa, África y Asia.

El grupo detrás de esto también se ha asociado con la comunidad BreachForums para reclutar afiliados, incluidos evaluadores de penetración y agentes de acceso inicial, un movimiento que probablemente ampliará la cantidad de atacantes que utilizan esta herramienta.

Combinada con tácticas de doble extorsión, donde los datos robados se utilizan como moneda de cambio junto con el cifrado, la amenaza representa un riesgo grave para organizaciones de casi cualquier tamaño o sector.

El Ransomware The Gentlemen Utiliza 21 Técnicas de Ejecución Remota

La función de autopropagación se activa mediante una bandera de línea de comandos llamada --spread, y es lo que diferencia a este ransomware de los cifradores de un solo host más convencionales.

Una vez activada, la máquina infectada se convierte en un centro de distribución copiando su propio binario en una carpeta y publicándolo a través de un recurso compartido de red oculto configurado para acceso anónimo.

Desde allí, el malware utiliza una herramienta legítima del sistema llamada PsExec, ya sea desde una copia local o descargándola, y comienza a escanear la red en busca de máquinas accesibles, incluyendo estaciones de trabajo regulares, servidores y controladores de dominio.

Cada máquina descubierta se convierte en un objetivo de infección. Contra cada objetivo, el malware primero ejecuta un script que debilita las defensas de la máquina remota, desactivando la monitorización de seguridad, apagando la protección del firewall e incluso reactivando una versión obsoleta e insegura del protocolo de intercambio de archivos.

Solo después de despejar este camino intenta ejecutar realmente la carga útil del ransomware. Para lograr que se ejecute, el malware prueba hasta 21 métodos de ejecución remota diferentes por objetivo, incluyendo la copia remota de archivos, PsExec, tareas programadas, servicios de Windows y técnicas basadas en PowerShell.

Dado que cada método funciona de forma independiente, los atacantes solo necesitan que uno de ellos tenga éxito en una máquina determinada para que la infección siga propagándose.

Tácticas de Cifrado y Evasión de Defensas

Antes de tocar un solo archivo, el ransomware trabaja para desactivar Microsoft Defender, borrar los registros forenses y eliminar las Copias Shadow del Volumen dos veces, utilizando dos comandos separados para mayor fiabilidad.

También borra el historial de comandos y elimina las herramientas de copia de seguridad y recuperación para que restaurar los sistemas sin pagar sea mucho más difícil.

Para el cifrado real, el malware utiliza un enfoque híbrido que combina la criptografía de curva elíptica Curve25519 con el cifrado de flujo XChaCha20, generando una clave única para cada archivo que toca.

Este diseño hace que descifrar los archivos sin la clave privada del atacante sea prácticamente imposible, y renombra cada archivo cifrado con una extensión distinta.

Deberías centrarte en validar tus defensas contra esta cadena de ataque específica en lugar de confiar en protecciones genéricas contra el ransomware.

Probar los controles de seguridad mediante simulaciones de ataques reales, mantener copias de seguridad fuera de línea y monitorizar estrechamente los comandos específicos y los comportamientos de red descritos anteriormente son pasos prácticos que pueden reducir significativamente el riesgo que plantea este ransomware.

TipoIndicadorDescripción
Extensión de archivo.umc16hExtensión añadida a los archivos después del cifrado
Nombre de archivoREADME-GENTLEMEN.txtNota de rescate dejada en los sistemas infectados
Ruta de archivoC:\TempUbicación utilizada para alojar el binario del malware durante la propagación
Recurso compartido de red\<self>\share$Recurso SMB oculto utilizado para acceso anónimo durante la propagación
HerramientaPsExecHerramienta legítima abusada para la ejecución remota durante el movimiento lateral

Nota: Las direcciones IP y los dominios han sido desativados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o el enlace automático. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.



Fuentes:
https://cybersecuritynews.com/the-gentlemen-ransomware-uses-21-remote-execution-techniques/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.