Ciberseguridad

The Gentlemen RaaS: el ransomware que mata defensas de seguridad

EL Suinda

2 min read
The Gentlemen RaaS: el ransomware que mata defensas de seguridad
The Gentlemen RaaS: el ransomware que mata defensas de seguridad

Los ataques de ransomware evolucionan constantemente, y esta vez nos encontramos con una amenaza particularmente sofisticada: The Gentlemen, una operación de ransomware-as-a-service (RaaS) que desarrolla y distribuye herramientas especializadas para neutralizar los sistemas de detección y respuesta (EDR) antes de desplegar el malware cifrador. Esto significa que los atacantes no solo buscan tu dinero, sino que también quieren asegurarse de que las defensas de tu empresa estén completamente dormidas cuando lleguen.

¿Qué pasó?

The Gentlemen opera una cartera sofisticada de herramientas diseñadas específicamente para terminar procesos de seguridad. El corazón de esta estrategia es GentleKiller, un framework que funciona como orquestador de ataques contra EDRs. Lo preocupante es que esta operación no solo mantiene estas herramientas, sino que las distribuye activamente entre sus afiliados para que las usen antes de desplegar el ransomware principal.

Lo que diferencia a The Gentlemen de otras operaciones RaaS es su enfoque "maduro" en el desarrollo de estas armas cibernéticas. No se trata de scripts improvisados, sino de herramientas robustas y mantenidas constantemente. El framework GentleKiller apunta a más de 400 procesos de seguridad diferentes, lo que da cuenta del nivel de sofisticación alcanzado.

Además de sus propias herramientas, The Gentlemen también incorpora herramientas de terceros en su arsenal, creando un combo devastador para las defensas corporativas. Esta modularidad les permite adaptarse rápidamente a nuevas versiones de EDRs y mantener su efectividad.

¿Por qué importa en Argentina y América Latina?

En la región, muchas empresas aún dependen de soluciones de seguridad básicas o desactualizada. Las operaciones RaaS como The Gentlemen típicamente apuntan a empresas medianas y pequeñas que tienen presupuestos limitados para ciberseguridad pero poseen datos valiosos. Argentina, con su importante sector financiero, de tecnología y de servicios, es un objetivo atractivo para estos grupos.

El modelo de "negocio" RaaS es particularmente peligroso porque democratiza el acceso a herramientas sofisticadas. Un atacante sin grandes conocimientos técnicos puede simplemente pagar por acceso y usar estas herramientas pre-configuradas. Esto amplifica exponencialmente el riesgo para las pymes latinoamericanas.

¿Qué se recomienda?

  • Actualizar constantemente tu EDR: Los proveedores de seguridad lanzan parches regularmente para contrarrestar técnicas como las de GentleKiller. No ignorar esas actualizaciones es crítico.
  • Implementar defensas en capas: No confiar en un único punto de defensa. Combina EDR con firewalls, detección en red y seguridad en el correo.
  • Monitorear comportamientos anómalos: Implementar soluciones de análisis de comportamiento (UEBA) que detecten intentos de desactivar defensas antes de que ocurran.
  • Planes de respuesta a incidentes: Tener un plan documentado y practicado sobre qué hacer si sospechás que estás bajo ataque.
  • Backups offline: La mejor defensa contra ransomware sigue siendo tener copias de seguridad que no estén conectadas a la red principal.
  • Capacitación de personal: Muchos ataques comienzan con un correo de phishing. Entrenar a tu equipo es fundamental.

Fuente: The Hacker News

Read more