The Gentlemen: il gruppo RaaS più veloce del 2026

The Gentlemen è il gruppo ransomware RaaS con la crescita più rapida del 2026. 320 vittime e un locker multipiattaforma.

Nel luglio 2025, su alcuni forum underground dedicati al cybercrime comparve un annuncio di reclutamento. Un nuovo gruppo RaaS cercava affiliati esperti, penetration tester e operatori con accessi preesistenti a reti aziendali. L’offerta prometteva infrastruttura, strumenti, locker multipiattaforma e una quota sugli utili più alta di qualsiasi competitor. Ma nessuno, in quel momento, prestò particolare attenzione.

Chi sono The Gentlemen
Anatomia di un attacco
Settori colpiti e profilo geopolitico
Come difendersi da The Gentlemen

Illustrazione di The Gentlemen: il gruppo ransomware RaaS con la crescita più rapida del 2026

A nove mesi di distanza, The Gentlemen è divenuto il secondo gruppo ransomware più attivo del 2026 per numero di vittime rivendicate. Secondo i dati raccolti da Check Point Research, le vittime pubblicamente rivendicate sono già oltre 320, di cui 240 nei soli primi mesi del 2026. Cifre che, per definizione, rappresentano solo chi ha rifiutato di pagare.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Chi è The Gentlemen

The Gentlement è il nome di un’operazione ransomware-as-a-service emersa a luglio 2025, con un modello operativo classico. Un nucleo di sviluppatori gestisce il codice, l’infrastruttura e il pannello affiliati, mentre una rete di operatori indipendenti conduce le intrusioni sul campo. Il reclutamento avviene apertamente su forum underground, con annunci che descrivono nel dettaglio gli strumenti disponibili, le condizioni economiche e i requisiti tecnici per gli affiliati.

Se confrontato con altri gruppi presenti sulla scena, emerge un quadro molto preoccupante. DragonForce, apparso nel 2023, aveva impiegato quasi due anni per superare le 150 vittime rivendicate. The Gentlemen ha raggiunto e superato quella soglia in nove mesi. Se confrontato con LockBit, si nota un ritmo di crescita del 2026 paragonabile ai primi anni del gruppo russo, prima che l’Operazione Cronos ne interrompesse l’ascesa. Secondo i dati ZeroFox relativi al Q1 2026, con 192 attacchi documentati nel solo primo trimestre, The Gentlemen si colloca al terzo posto nella classifica dei gruppi più attivi, alle spalle di Qilin e Akira.

La ragione principale di questa crescita accelerata è di natura economica. La maggior parte dei programmi RaaS concorrenti prevede una ripartizione 80/20 a favore dell’affiliato. The Gentlemen offre cede il 90% di ogni riscatto a chi esegue l’attacco. Questa differenza si traduce in un afflusso di operatori esperti, provenienti da altri gruppi RaaS, che portano con sé competenze professionali, accessi preesistenti a reti aziendali e playbook già testati su vittime reali. Il gruppo gestisce inoltre un data leak site sul dark web per la pubblicazione dei dati delle vittime che rifiutano di pagare. A questo si aggiunge un account su X/Twitter usato attivamente per amplificare la pressione pubblica sulle organizzazioni colpite.

Anatomia di un attacco

Gli attacchi di The Gentlemen prendono di mira i dispositivi esposti su internet e non aggiornati. Tra i più abusati si segnalano VPN, gateway di accesso remoto e portali di gestione dei firewall. Si tratta di infrastrutture che, quando non ricevono la stessa attenzione riservata alle applicazioni web pubbliche, diventano porte aperte verso l’intera rete aziendale. Molto spesso l’affiliato del gruppo accede direttamente con credenziali amministrative valide, acquistate su marketplace underground o ottenute da campagne di phishing precedenti.

Movimento laterale

Una volta all’interno, l’affiliato convalida le credenziali sull’intero ambiente e avvia il movimento laterale verso decine di host tramite SMB e WMI. L’obiettivo è mappare il dominio, identificare i sistemi più critici e raggiungere il domain controller prima che qualcuno se ne accorga.

Disattivazione delle difese

Prima di distribuire il payload, l’affiliato esegue uno script PowerShell che smonta metodicamente le difese del sistema. Il monitoraggio in tempo reale di Windows Defender viene disabilitato, vengono aggiunte esclusioni per il drive e lo share di staging, il firewall locale viene spento, SMB1 viene riabilitato e i controlli LSA per l’accesso anonimo vengono allentati. Ogni passaggio serve a garantire che il ransomware non incontri ostacoli al momento del deployment.

Distribuzione via Group Policy e cifratura

La distribuzione del ransomware avviene tramite criteri di gruppo (Group Policy). Una GPO viene configurata per eseguire il binario su tutti i sistemi domain-joined al successivo aggiornamento delle policy. Il risultato è una cifratura quasi simultanea dell’intero ambiente. Dall’accesso iniziale alla cifratura completa, nella ricostruzione di CPR, passano poche ore.

Il locker di The Gentlemen

The Gentlemen mette a disposizione degli affiliati un portfolio di locker che copre tutti i principali ambienti enterprise. Il locker principale è scritto in Go e supporta Windows, Linux, NAS e BSD. Un secondo locker, sviluppato in C, è dedicato agli hypervisor VMware ESXi. Il Go semplifica la compilazione cross-platform, produce binari statici difficili da analizzare e complica la detection basata su firme statiche.

L’unico parametro obbligatorio è –password, un valore univoco per ogni build e ogni infezione, che funge da chiave di sessione e impedisce il recupero dei file senza la chiave corretta. Gli affiliati verificati ricevono accesso a strumenti EDR-killer e a un’infrastruttura di pivot proprietaria con componenti client e server.

Settori colpiti e profilo geografico

Il manifatturiero e il tecnologico sono i settori più frequentemente colpiti. Il dato più rilevante riguarda il settore sanitario, terzo obiettivo in crescita: alcuni gruppi RaaS evitano ospedali e strutture mediche per ragioni di autotutela reputazionale. The Gentlemen non mostra alcuna cautela in questo senso.

Gli Stati Uniti concentrano il maggior numero di vittime, seguiti dal Regno Unito e dalla Germania. A dicembre 2025 il gruppo ha compromesso l’Oltenia Energy Complex, uno dei principali fornitori di energia della Romania. Nelle settimane successive ha rivendicato una violazione ai danni di The Adaptavist Group, azienda tecnologica con operazioni in Europa e Nord America.

Come difendersi da The Gentlemen

Essendo un gruppo RaaS, non esiste una difesa univoca. Proprio come affermato in altri articoli di questo blog, esistono una serie di misure cautelari di facile applicazione.

Mettere in sicurezza i dispositivi internet-facing.
VPN, firewall e gateway di accesso remoto devono ricevere patch di sicurezza con la stessa priorità riservata alle applicazioni web pubbliche. Un inventario aggiornato dei dispositivi esposti e una politica di aggiornamento sistematica eliminano il vettore di accesso preferito di The Gentlemen.
Implementare l’autenticazione multifattore su tutti gli accessi remoti.
L’MFA non impedisce il furto delle credenziali, ma rende inutilizzabile l’accesso anche in presenza di username e password validi.
Monitorare il movimento laterale prima che il ransomware si attivi.
Quando il locker viene distribuito tramite Group Policy, l’attaccante è già dentro da ore. Rilevare autenticazioni inusuali, modifiche alle policy di gruppo o disattivazione di Windows Defender è la finestra di intervento più concreta per interrompere un attacco in corso.
Segmentare la rete per limitare il blast radius.
La distribuzione via GPO colpisce tutti i sistemi domain-joined raggiungibili dall’affiliato. Una segmentazione efficace tra reti operative, amministrative e di utenza riduce il numero di sistemi cifrabili in un singolo evento.
Verificare concretamente backup e procedure di ripristino.
The Gentlemen adotta la doppia estorsione: anche con un backup funzionante, i dati già esfiltrati rimangono nelle mani del gruppo. Un backup offline e verificato resta comunque la misura più efficace per evitare che il pagamento del riscatto diventi l’unica via percorribile.

In conclusione

Alla luce di quanto discusso, The Gentlemen è un gruppo RaaS che ha reso economicamente più attraente un modello già ben rodato. Il risultato è un’operazione che cresce sfruttando competenze e accessi già formati da altri gruppi, senza dover costruire una rete di affiliati da zero.

Il segnale allarmante è la velocità di crescita che il gruppo ha dimostrato. Per avviare un’operazione RaaS professionale oggi bastano un locker funzionale, una ripartizione vantaggiosa e un leak site. Finché le infrastrutture aziendali continueranno a esporre VPN senza patch e accessi remoti senza MFA, gruppi come The Gentlemen troveranno sempre una porta aperta.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.