Evolución del Ransomware “The Gentlemen” (Storm-2697) y Filtración de su Infraestructura

A partir del análisis de la filtración de la base de datos interna “Rocket” en mayo de 2026 y la telemetría global de múltiples firmas de ciberseguridad, se ha elaborado una sesión informativa de nivel defensivo sobre la operación de Ransomware-as-a-Service (RaaS) conocida como “The Gentlemen” (rastreada por Microsoft como Storm-2697). Este grupo, surgido de una disputa en el programa Qilin, representa actualmente una amenaza de Nivel 1 (Tier-1) para entornos corporativos y de tecnología operativa (OT) a nivel mundial.


Veredicto Analítico
  • Estado: Operación RaaS Activa (Nivel 1). Recientemente comprometida a nivel interno (filtración de base de datos en mayo de 2026), pero la infraestructura de ataque sigue plenamente operativa.
  • Confianza: Absoluta. Validado por la filtración de la base de datos backend, transcripciones de chat de los operadores y múltiples informes forenses independientes.
  • Riesgo para SOC, TDIR y Redes: Crítico. El grupo destaca por su capacidad inigualable para neutralizar defensas (EDR/AV) mediante un framework propietario de controladores vulnerables (BYOVD) que termina procesos de seguridad de más de 48 proveedores.
  • Urgencia Operativa: Crítica. La explotación inicial no depende de la interacción del usuario (phishing), sino de la explotación automatizada de dispositivos perimetrales (especialmente VPNs de Fortinet) y credenciales comprometidas.
  • Base del Veredicto: Combinación de acceso inicial perimetral automatizado (CVE-2024-55591), desactivación a nivel de kernel (Ring-0) de las herramientas del SOC, propagación similar a un gusano (21 técnicas) y criptografía sólida (Curve25519/XChaCha20).

Hallazgos Clave
  • Perfil del Atacante: Fundado por el operador “hastalamuerte” (zeta88). Sigue una política de exclusión de la Comunidad de Estados Independientes (CIS). Retienen solo el 10% de los ingresos, entregando el 90% a sus afiliados.
  • Victimología Inusual: En lugar de centrarse exclusivamente en EE. UU., The Gentlemen tiene una fuerte presencia en el sudeste asiático, Sudamérica y Europa occidental (ej. ataque devastador a Mackay Sugar en Australia en junio de 2026). La selección de víctimas se basa en la exposición de vulnerabilidades perimetrales, no en la geografía.
  • Inteligencia Filtrada: La base de datos “Rocket” expuso más de 3,366 mensajes internos, identidades de operadores, una lista de más de 1,570 víctimas confirmadas y el código fuente completo de su cadena de herramientas de evasión.

Análisis Técnico: Cadena de Explotación (Kill Chain)

El enfoque de este grupo abandona el phishing tradicional en favor de la explotación perimetral y el asalto directo a los controles de seguridad:

  • Acceso Inicial: No utilizan phishing. Explotan sistemáticamente infraestructura de borde orientada a Internet. Su principal vector es la omisión de autenticación en Fortinet FortiOS/FortiProxy (CVE-2024-55591). Los registros filtrados muestran un inventario activo de más de 14,700 dispositivos comprometidos.
  • Reconocimiento y Escalada: Utilizan herramientas de código abierto y propietarias (NetExec, RelayKing, TaskHound, CertiHound) para escalar privilegios a través de ataques de retransmisión NTLM y abusos de configuración en Active Directory Certificate Services (ADCS).
  • Evasión de Defensas (El núcleo del ataque): Antes de encriptar, despliegan “GentleKiller”. Utilizan la técnica “Trae Tu Propio Controlador Vulnerable” (BYOVD), cargando controladores firmados pero vulnerables (ej. de motores antitrampas de juegos o software obsoleto) como servicios de Windows. Esto les otorga acceso al kernel (Ring-0) para matar más de 400 procesos EDR/AV, superando la protección contra manipulaciones en modo usuario.
  • Movimiento Lateral y Persistencia: El módulo de propagación es similar a un gusano, intentando 21 técnicas de ejecución remota de forma independiente (SMB, PsExec, WMIC, WinRM, Tareas Programadas). Para la persistencia, crean tareas programadas (UpdateSystem) e instalan proxies SOCKS5 (SystemBC) o túneles de Cloudflare.
  • Exfiltración y Cifrado: Extraen cientos de gigabytes mediante WinSCP. El cifrado utiliza un esquema híbrido (Curve25519 + XChaCha20), modificando la extensión de los archivos a .umc16h. Borran copias de volumen (VSS), limpian registros de eventos de Windows y sobrescriben el espacio libre en disco para impedir la recuperación forense.

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
  • Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (T1190) mediante CVE-2024-55591 (FortiOS) y CVE-2025-32433 (Erlang SSH). Cuentas Válidas (T1078).
  • Evasión de Defensas: Desactivar o Modificar Herramientas (T1562.001) usando GentleKiller; Enmascaramiento (T1036) simulando firmas de Kaspersky, Valorant o Symantec.
  • Escalada de Privilegios: Explotación para Escalada de Privilegios (T1068) usando el controlador vulnerable ThrottleBlood.sys (CVE-2025-7771).
  • Impacto: Inhibición de Recuperación del Sistema (T1490) borrando shadow copies; Borrado de Disco (T1561).

Recomendaciones Operativas

Para Administración de Redes, Infraestructura y TI (Acción Prioritaria)

  • Parcheo Perimetral Urgente: Auditar todos los dispositivos FortiGate, FortiProxy y FortiSwitch orientados a Internet y aplicar los parches para CVE-2024-55591 de inmediato. Forzar el restablecimiento de contraseñas de todas las cuentas VPN.
  • MFA Resistente: Eliminar la autenticación de un solo factor en toda la infraestructura externa (VPN/RDP/OWA).
  • Aislamiento y Copias de Seguridad: Implementar copias de seguridad fuera de línea, inmutables y aisladas de la red (air-gapped), ya que el grupo ataca activamente los servidores de Veeam Backup.

Para el Centro de Operaciones de Seguridad (SOC)

  • Bloqueo de Controladores BYOVD: Habilitar el Control de Aplicaciones de Windows Defender (WDAC) y HVCI (Integridad de Memoria) para evitar la carga de controladores de kernel vulnerables. Incorporar la lista de bloqueos de controladores vulnerables de Microsoft.
  • Monitorización de EID 6 de Sysmon: Alertar inmediatamente sobre cualquier evento de Sysmon ID 6 (Controlador Cargado) que coincida con los controladores abusados (ej. eb.sys, nseckrnl.sys, vgk.sys, stpm_old.sys, dmx.sys).
  • Alertas Críticas: Monitorizar la creación de la tarea programada gentlemen_system y comandos como vssadmin.exe delete shadows, los cuales son precursores confirmados de la fase de cifrado.

Indicadores de Compromiso (IoC) Seleccionados

A continuación, se listan los identificadores clave de la amenaza para su ingestión en plataformas de seguridad.

Vulnerabilidades Explotadas (CVEs)

  • CVE-2024-55591: Omitir autenticación en Fortinet FortiOS / FortiProxy (Vector principal de acceso inicial).
  • CVE-2025-32433: Ejecución remota de código en Erlang SSH (Cisco).
  • CVE-2025-33073: Escalamiento de privilegios vía Windows NTLM Relay.
  • CVE-2025-7771: Ejecución de código a nivel de kernel mediante el controlador ThrottleStop.sys (BYOVD).

Hashes de Archivos (SHA-256 / SHA-1)

  • 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67: Binario principal del Ransomware The Gentlemen (Windows).
  • 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b: Binario de PsExec incrustado en el encriptador.
  • BA914FE77B177B45799403B16DD14765C510A074: eb.sys (Driver rootkit personalizado imitando a Kaspersky).
  • 7556AE58C215B8245A43F764F0676C7A8F0FDD1A: vgk.sys (Driver vulnerable de Vanguard/Valorant utilizado por GentleKiller).
  • 82ED942A52CDCF120A8919730E00BA37619661A3: ThrottleBlood.sys (Driver vulnerable para matar procesos EDR).
  • A5CF917EC4A7DFBDFA43621398604805D860C718: buildx641.exe (Herramienta OxideHarvest para robo de credenciales).

Infraestructura de Red (IPs)

  • 193.233.202[.]17: IP de Comando y Control (SOCKS proxy, baliza svchost32.exe en el puerto 44729).
  • 77.110.122[.]137: IP de Comando y Control alternativa (puerto 37182).
  • 45[.]86[.]230[.]112: Host de montaje previo a la ejecución del ransomware.

Artefactos del Sistema de Archivos

  • .umc16h: Extensión principal de archivos encriptados.
  • README-GENTLEMEN.txt: Nombre de la nota de rescate.
  • gentlemen.bmp: Archivo de fondo de escritorio desplegado tras el cifrado (ubicado en %TEMP%).
  • gentlemen_system: Tarea programada creada para ejecutar el cifrado con privilegios SYSTEM.
  • GentlemenCollection\: Directorio utilizado para montar la suite de herramientas para matar EDRs.

Related Post