Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

RaaS

The Gentlemen: l’operazione ransomware-as-a-service più attiva nel 2026

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Ciò che rende The Gentlemen degno di attenzione non è la sofisticazione del vettore di attacco, ma la velocità di crescita e la capacità di attrarre operatori esperti provenienti da altri programmi criminali. Ecco perché l’operazione ransomware-as-a-service (RaaS) sta attirando tanti cyber criminali esperti

Pubblicato il 28 apr 2026
Luisa Franchina

Presidente Associazione Italiana Infrastrutture Critiche (AIIC)

Tommaso Diddi

Analista Hermes Bay

Ransomware crisi operativa; Ransomware, nel 2025 costi esorbitanti per il manufatturiero: cosa aspettarsi nel 2026; The Gentlemen: l'operazione ransomware-as-a-service più attiva nel 2026
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Nel panorama delle minacce informatiche, emergono periodicamente gruppi capaci di scalare rapidamente le classifiche dei soggetti più pericolosi, non attraverso innovazioni tecniche straordinarie, ma grazie a modelli operativi ben costruiti e incentivi economici efficaci.

È questo il caso di The Gentlemen, un’operazione ransomware-as-a-service (RaaS) che, dalla sua comparsa a metà del 2025, ha già collezionato oltre 320 vittime pubblicamente rivendicate e si configura come uno dei gruppi più attivi del 2026.

A tracciarne il profilo è Check Point Research (CPR), la divisione di Threat Intelligence di Check Point Software Technologies, che ha condotto un’analisi approfondita includendo i risultati di un intervento diretto di risposta agli incidenti e l’accesso a un server live controllato dagli attaccanti.

Attacchi informatici al manifatturiero: il settore industriale più bersagliato dal cybercrime

The Gentlemen: ecco perché sta attirando operatori esperti

Ciò che rende The Gentlemen degno di attenzione non è la sofisticazione del vettore di attacco, ma la velocità di crescita e la capacità di attrarre operatori esperti provenienti da altri programmi criminali.

Nei soli primi mesi del 2026 sono stati rivendicati 240 episodi, un ritmo paragonabile ai primi anni di LockBit 3, storicamente il riferimento del settore RaaS.

Inoltre, le vittime elencate sul sito di divulgazione del gruppo sono esclusivamente quelle che hanno rifiutato di pagare il riscatto: il numero reale è quasi certamente superiore.

Per comprendere le ragioni di questa crescita accelerata, è necessario analizzare il modello di business su cui si fonda l’operazione.

Nel classico schema RaaS, gli sviluppatori forniscono strumenti e infrastruttura, mentre gli affiliati eseguono gli attacchi e condividono una quota dei proventi con l’operatore.

La maggior parte dei programmi concorrenti prevede una ripartizione dell’80% a favore dell’affiliato. The Gentlemen ha invece adottato una ripartizione 90/10, cedendo cioè il 90% di ogni riscatto agli affiliati.

In un ecosistema criminale guidato da incentivi finanziari, questa differenza è tutt’altro che trascurabile: sta attirando operatori esperti, i quali portano con sé competenze tecniche consolidate, accessi preesistenti a reti aziendali e metodi di intrusione già testati. Il risultato è un’operazione che cresce sfruttando capitale umano e operativo già formato da altri gruppi.

Gli attacchi

Sul piano tecnico, gli attacchi seguono un pattern prevalentemente opportunistico.

Il punto di ingresso preferito è rappresentato dai dispositivi connessi a Internet esposti, non aggiornati o mal configurati: VPN, gateway di accesso remoto, portali di gestione dei firewall.

Si tratta di infrastrutture che, quando non ricevono la stessa attenzione riservata alle applicazioni web pubbliche, diventano porte aperte verso l’intera rete aziendale.

La ricostruzione di un incidente seguita dagli investigatori di CPR consente di apprezzare la velocità con cui il gruppo opera.

L’attaccante è arrivato con accesso amministrativo a livello di dominio già stabilito.

Da quel momento la sequenza si è svolta rapidamente: convalida delle credenziali in tutto l’ambiente, movimento laterale verso decine di host, disattivazione degli strumenti di sicurezza e, infine, distribuzione del ransomware tramite criteri di gruppo, con cifratura rapida dei sistemi domain-joined nel giro di pochissimo tempo.

Gli affiliati non improvvisano: eseguono un playbook documentato e testato, progettato per massimizzare l’impatto prima che i difensori possano intervenire.

Nel corso della stessa operazione, i ricercatori hanno scoperto che l’affiliato aveva fatto uso di un’infrastruttura che lasciava intravedere un raggio d’azione ben più ampio, pur restando da chiarire se gli strumenti rilevati siano parte integrante dell’ecosistema The Gentlemen o propri di quello specifico affiliato.

Accedendo al server di comando e controllo attivo, è stato possibile individuare una botnet composta da oltre 1.570 sistemi compromessi, il cui profilo suggerisce fortemente ambienti di tipo organizzativo e aziendale, potenzialmente utilizzabili per ulteriori attività malevole.

Un dato che supera significativamente i numeri pubblicati sul sito del gruppo, confermando che la superficie reale dell’operazione è più estesa di quanto appaia dall’esterno.

I settori più colpiti

Dal punto di vista dei settori colpiti, il settore manifatturiero e quello tecnologico rappresentano le categorie più frequentemente prese di mira. Merita attenzione la presenza del settore sanitario come terzo obiettivo in crescita: alcuni gruppi, per scelta informale o autoconservazione reputazionale, evitano ospedali e strutture mediche, mentre The Gentlemen non mostra alcuna cautela in questo senso.

Geograficamente, gli Stati Uniti concentrano il maggior numero di vittime, con il Regno Unito e la Germania anch’essi fortemente rappresentati, secondo quanto confermato dal sito di leak pubblico del gruppo e dalla telemetria osservata dal server C2 associato all’affiliato.

L’analisi delle tattiche osservate

Di fronte a un’operazione di questo tipo, le indicazioni per i responsabili della sicurezza derivano direttamente dall’analisi delle tattiche osservate.

La priorità assoluta riguarda l’aggiornamento e la corretta configurazione dell’infrastruttura esposta a Internet: VPN, firewall e gateway di accesso remoto devono ricevere la stessa attenzione riservata alle applicazioni web pubbliche.

È necessario inoltre partire dal presupposto che le credenziali possano essere già state compromesse: l’autenticazione a più fattori e i controlli sugli accessi privilegiati non sono misure opzionali, ma condizioni di base per limitare la progressione di un attacco.

La continuità operativa

Su questo fronte, è fondamentale verificare concretamente la capacità di backup e ripristino.

Numerose organizzazioni scoprono le lacune della propria strategia soltanto durante un incidente.

Un backup funzionante e isolato dalla rete principale rimane lo strumento più efficace per contenere le conseguenze di una cifratura massiva.

Il monitoraggio non deve poi limitarsi al perimetro esterno: quando il ransomware si attiva, l’attaccante è generalmente già presente da tempo all’interno dell’ambiente.

Intercettare il movimento laterale rappresenta la finestra di opportunità più concreta per interrompere un attacco in corso.

La segmentazione della rete, infine, riduce la portata potenziale di un’intrusione riuscita, limitando la capacità dell’attaccante di raggiungere i sistemi domain-joined e circoscrivendo il raggio d’azione complessivo.

Oltre The Gentlemen, fra modello di business e vulnerabilità esposte

Il caso di The Gentlemen evidenzia una tendenza strutturale che va oltre il singolo gruppo: la barriera d’ingresso per avviare un’operazione RaaS professionale si è progressivamente abbassata.

È sufficiente una ripartizione dei ricavi vantaggiosa, un ransomware funzionale multi-piattaforma e un sito di divulgazione per attrarre affiliati già formati, i quali portano con sé accesso e competenze per colpire su larga scala.

Non è richiesta alcuna rivoluzione tecnologica per causare danni significativi: è sufficiente un modello di business ben calibrato e infrastrutture aziendali ancora esposte alle stesse vulnerabilità segnalate da anni.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
D
Tommaso Diddi
Analista Hermes Bay

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta; Neutralizzata Tycoon 2FA: come il kit phishing che aggirava l'MFA ha compromesso decine di migliaia di account

  • attacchi informatici

    Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente

    22 Dic 2025

    di Mirella Castigli

    Condividi
  • Sanzione privacy Acea controllo fornitori

  • telemarketing

    Sanzione privacy ad Acea: costa caro il mancato controllo sulle pratiche ingannevoli dei fornitori

    09 Mag 2025

    di Rosario Palumbo

    Condividi
  • meem4cyber360_airegulation

  • meme della settimana

    AI e sregolatezza normativa

    19 Dic 2025

    di Redazione Cybersecurity360.it

    Condividi
  • cyber-resilience-cybersecurity360 - Strategia nazionale di cyber sicurezza: focus, il rafforzamento della resilienza; Difendere ciò che non si vede negli ambienti OT

  • triennio 2025-2027

    Strategia nazionale di cyber sicurezza: nel Dpcm i pilastri economici per realizzarla

    23 Ott 2025

    di Tommaso Diddi e Luisa Franchina

    Condividi
0
Lascia un commento, la tua opinione conta.x