The Gentlemen se populariza; nuevo gusano cifrador de Storm-2697 pone en alerta a Microsof
«The Gentlemen» se ha consolidado como uno de los ransomware más agresivos de los últimos tiempos.
El cifrador The Gentlemen está ganando rápidamente popularidad entre los ciberdelincuentes gracias a una peligrosa combinación de dos características. El malware no solo cifra de forma fiable los datos de la víctima, sino que además se propaga por la red por sí mismo, intentando infectar la mayor cantidad posible de equipos y servidores. Los especialistas de Microsoft advierten que esa combinación puede multiplicar el daño de un solo ataque.
Detrás del servicio extorsivo está el grupo Storm-2697. El proyecto The Gentlemen surgió a mediados de 2025 como una operación cerrada, y en otoño empezó a operar con el modelo «ransomware como servicio», proporcionando herramientas a socios. Recientemente los operadores cerraron un acuerdo con el foro BreachForums para atraer nuevos participantes, incluidos intermediarios de acceso inicial y especialistas en pruebas de penetración. Según Microsoft, la colaboración puede conducir a un aumento en el número de ataques.
El grupo emplea un esquema de doble extorsión. Antes de cifrar los datos, los atacantes exfiltran información confidencial y luego amenazan con publicar los datos robados si la empresa se niega a pagar el rescate. Los ataques ya han afectado a organizaciones de los sectores de educación, transporte, salud y finanzas en América del Norte y del Sur, Europa, África y Asia.
El cifrador está escrito en Go y utiliza algoritmos criptográficos modernos, Curve25519 y XChaCha20. Para cada archivo se genera una clave de cifrado independiente, lo que dificulta en gran medida recuperar los datos sin la clave de los atacantes. Los archivos pequeños se cifran por completo, mientras que en los archivos grandes solo se cifran secciones concretas. Este enfoque permite acelerar significativamente el ataque sin una pérdida notable de eficacia. Tras procesarlos, se añade a los nombres de archivo la extensión .umc16h.
Antes de iniciar el cifrado, el programa intenta desactivar los mecanismos de protección de Windows. El malware elimina las copias sombra de los volúmenes, limpia los registros de eventos, borra rastros de PowerShell y añade su propio ejecutable a la lista de exclusiones del antivirus. Al mismo tiempo se detienen procesos de bases de datos, programas de copia de seguridad, aplicaciones ofimáticas y soluciones de protección para obtener acceso al mayor número posible de archivos.
Los especialistas señalan que la característica más notable de The Gentlemen es su capacidad de propagarse por sí solo. Tras obtener acceso a un equipo, el programa se convierte en un gusano de red y empieza a buscar otros ordenadores. Para el movimiento lateral se emplean varios métodos a la vez, incluidos PsExec, WMI, tareas programadas remotas, servicios de Windows y la ejecución remota por PowerShell. Para cada nodo detectado el malware trata de ejecutar hasta 21 operaciones de inicio distintas. Incluso si la mayoría de los métodos están bloqueados, el éxito de uno solo basta para continuar la infección en la red.
Antes de propagarse, el programa copia su archivo a una carpeta compartida de red y luego debilita las protecciones en los dispositivos remotos. Entre otras acciones, The Gentlemen desactiva la protección antivirus, el cortafuegos de Windows y modifica los permisos de acceso a los recursos de red. Tras el cifrado, el malware deja una nota README-GENTLEMEN.txt con instrucciones de contacto a través de la red Tor y amenazas de publicar los datos robados.
Además, los atacantes pueden activar una función de destrucción del espacio libre en los discos. En ese modo, el programa llena el espacio no utilizado con datos aleatorios, lo que dificulta recuperar archivos borrados con herramientas forenses. Al finalizar su ejecución, el cifrador puede eliminar su propio ejecutable para complicar la investigación del incidente.
En Microsoft señalan que la combinación de cifrado robusto, propagación activa en la red y la multitud de métodos de ejecución remota convierte a The Gentlemen en uno de los programas de extorsión más agresivos surgidos recientemente.