Investigadores de seguridad (Microsoft Threat Intelligence) han analizado una variante del ransomware The Gentlemen, desarrollada en lenguaje Go y ofuscada mediante la herramienta Garble, que destaca por crear tareas programadas de Windows para ejecutar el proceso de cifrado con privilegios SYSTEM, el nivel de acceso más alto en un equipo Windows.
La amenaza incorpora capacidades de auto-propagación tipo gusano (worm): cuando se activa esta función, intenta desplegarse automáticamente en todos los sistemas alcanzables de la red local sin intervención humana, empleando herramientas administrativas legítimas (living-off-the-land).
El grupo opera bajo un modelo Ransomware-as-a-Service (RaaS) y emplea técnicas de doble extorsión, combinando el cifrado de información con el robo previo de datos y la amenaza de su publicación. Microsoft rastrea al actor detrás de esta amenaza como Storm-2697.
Contexto del actor: la operación surgió a mediados de 2025 como grupo cerrado, abrió el acceso a afiliados en septiembre de 2025 y posteriormente formalizó una alianza con el mercado criminal BreachForums, reclutando pentesters e intermediarios de acceso inicial (IABs). Ya ha impactado a organizaciones de educación, salud, transporte y finanzas en América del Norte, América del Sur, Europa, África y Asia.
Detalles técnicos
Elevación de privilegios vía tarea programada. Al recibir el argumento de línea de comandos correspondiente, el ransomware crea una tarea programada llamada «gentlemen_system» que ejecuta el binario bajo la cuenta SYSTEM. Primero elimina cualquier tarea existente con ese nombre, luego registra y dispara una nueva. Una vez en ejecución con contexto elevado, define la variable de entorno «LOCKER_BACKGROUND=1» para señalar que opera como proceso de cifrado en segundo plano con privilegios completos, alcanzando archivos que serían inaccesibles para cuentas de usuario estándar.
Evasión y anti-recuperación. Antes de iniciar el cifrado, deshabilita herramientas antivirus, elimina respaldos, borra registros del sistema y limpia rastros forenses.
Control operativo. Requiere una contraseña específica del build para ejecutarse y permite controlar su comportamiento por línea de comandos: velocidad de cifrado, activación de la propagación en red y mecanismo de persistencia tras reinicio.
Propagación lateral. Coloca su binario en una carpeta compartida, lo copia a recursos compartidos administrativos de red e intenta ejecutarlo en hosts remotos usando ocho métodos diferentes de forma simultánea, incluyendo PsExec, Windows Management Instrumentation (WMI), tareas programadas en contexto de usuario y SYSTEM, servicios de Windows y PowerShell remoting. Realiza hasta 21 operaciones de ejecución remota por cada host objetivo; esta redundancia es clave, ya que basta una sola ejecución exitosa en un host nuevo para reiniciar todo el ciclo de propagación.
Impacto
La actividad de The Gentlemen puede permitir:
- Cifrado masivo de archivos en equipos Windows (extensión «.umc16h»).
- Ejecución del ransomware con privilegios SYSTEM.
- Propagación lateral automatizada mediante PsExec, WMI, servicios de Windows, PowerShell remoting y recursos compartidos administrativos.
- Eliminación de respaldos y borrado de evidencia forense, dificultando la respuesta a incidentes.
- Interrupción de servicios críticos.
- Exfiltración de información sensible.
- Extorsión mediante amenaza de publicación de los datos robados (doble extorsión).
Solución / Mitigación
- Mantener soluciones EDR/NGAV actualizadas y operando en modo de bloqueo (block mode).
- Habilitar acceso controlado a carpetas (controlled folder access) para proteger directorios frente a cifrado no autorizado.
- Activar la protección antivirus entregada en la nube (cloud-delivered protection).
- Configurar la interrupción automática de ataques (automatic attack disruption) para contener amenazas activas antes de que se propaguen.
- Aplicar controles de acceso de mínimo privilegio.
- Restringir el uso de herramientas de administración remota cuando no sean necesarias.
- Implementar segmentación de red para limitar el movimiento lateral.
- Mantener respaldos fuera de línea (offline / inmutables) y procedimientos de recuperación validados periódicamente.
Recomendaciones
Fortalecer las políticas de reducción de superficie de ataque habilitando reglas específicas para bloquear procesos remotos no autorizados y habilitar la disrupción automática de ataques a nivel endpoint para evitar propagación en la red.
Indicadores de compromiso (IoCs)
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA-256 | 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67 | Binario del cifrador (encryptor) de The Gentlemen |
| Nombre de archivo | README-GENTLEMEN.txt | Nota de rescate depositada en cada directorio cifrado |
| Extensión | .umc16h | Extensión añadida a todos los archivos cifrados |
| Nombre de archivo | gentlemen.bmp | Fondo de pantalla depositado en %TEMP% tras el cifrado |
| Tarea programada | gentlemen_system | Tarea con privilegios SYSTEM creada para el cifrado elevado |
| Tarea programada | UpdateSystem | Persistencia: ejecuta el payload como SYSTEM al inicio |
| Tarea programada | UpdateUser | Persistencia: ejecuta el payload como usuario actual al inicio |
| Clave de registro | GupdateS (HKLM) | Persistencia autorun a nivel de sistema |
| Clave de registro | GupdateU (HKCU) | Persistencia autorun a nivel de usuario |
| Ruta de archivo | C:\Temp\psexec.exe | Binario PsExec depositado para movimiento lateral |
| Nombre de archivo | wipefile.tmp | Archivo temporal usado para borrar el espacio libre en disco |
| Variable de entorno | LOCKER_BACKGROUND=1 | Señala ejecución del cifrado en segundo plano con privilegios completos |