Nel panorama della cybersecurity il ransomware The Gentlemen si sta imponendo come una delle minacce piu attive per numero di vittime. Il gruppo opera con un modello ransomware as a service, reclutando affiliati con una strategia aggressiva che promette il 90 percento dei riscatti incassati, una quota superiore allo standard del settore.
Questo incentivo sta accelerando la crescita del programma e attirando operatori esperti provenienti da altre gang, rendendo The Gentlemen un nome centrale nelle ricerche su ransomware e criminalita informatica.
Le analisi piu recenti descrivono un gruppo capace di colpire rapidamente infrastrutture aziendali partendo da dispositivi esposti su Internet come VPN e firewall. Una volta ottenuto laccesso iniziale, gli attaccanti si muovono velocemente nella rete e possono arrivare a cifrare interi ambienti in poche ore. Questa velocita indica procedure di post exploitation ben rodate e una forte attenzione alla monetizzazione immediata, tipica delle campagne ransomware moderne.
Un elemento chiave e lidentificazione dellamministratore del programma, indicato in diversi ambienti underground con i nickname Zeta88 e Hastalamuerte. Da quanto emerso, questa figura avrebbe un ruolo tecnico e gestionale determinante, assemblando il ransomware locker e il pannello di gestione RaaS, coordinando i pagamenti e trattenendo la percentuale destinata agli amministratori. Un leak della infrastruttura backend avrebbe rafforzato questa attribuzione, mostrando come lamministratore sia il punto di controllo dellintero ecosistema di affiliati.
Le indagini OSINT e threat intelligence ricostruiscono un percorso di tracce digitali su forum e servizi online, con registrazioni ripetute nel tempo e collegamenti tra email, account e identita operative. La stessa persona risulterebbe attiva su numerosi forum di cybercrime dal 2019 in poi, con indizi geografici ricondotti alla citta russa di Izhevsk. Ulteriori correlazioni includono account associati a strumenti malware ed exploit, oltre a contatti su piattaforme di messaggistica. Questo tipo di ricostruzione evidenzia come molti attori ransomware commettano errori di operational security nelle fasi iniziali della carriera, lasciando collegamenti riutilizzabili che nel tempo diventano fondamentali per lattribuzione.
Un altro fattore spesso citato nelle analisi sul ransomware in area russa e il contesto locale, dove le attivita criminali possono essere tollerate o ignorate se non colpiscono interessi interni. In questo scenario, la combinazione tra incentivi economici, reclutamento e accessi iniziali ottenuti su servizi perimetrali continua a rendere The Gentlemen una minaccia ad alta priorita per aziende e team di sicurezza.