Els grups de ransomware porten anys operant amb la confiança que són intocables darrere de capes d’anonimitat, afiliats i servidors ocults. Aquesta confiança va rebre un cop sever al maig de 2026 quan el grup conegut com The Gentlemen — el segon més actiu del món el 2026 segons Check Point Research — va patir l’hackeig de la seva pròpia infraestructura interna. El resultat va ser un dump de dades únic: xats interns, registres d’afiliats, transcripcions de negociacions de rescat, credencials de servidor i el codi del seu panel RaaS. Check Point Research va obtenir part d’aquestes dades abans que fossin eliminades i va publicar una anàlisi completa que ofereix la millor finestra que els defensors han tingut mai a l’interior d’una operació de ransomware professional. Això és el que van trobar.

Què va revelar la filtració interna de The Gentlemen?

La cadena d’esdeveniments va començar el 2 de maig de 2026, quan el proveïdor d’hosting 4VPS va publicar un avís que el seu lloc web i sistemes de facturació havien estat atacats. El 4 de maig, l’administrador del grup va reconeixen foros underground que la seva base de dades interna havia estat comprometuda. El 5 de maig, un usuari amb el nick n7778 va publicar una oferta de venda de les dades per 10.000 dòlars en Bitcoin al foro Cracked. Dies després, el mateix usuari va publicar el dump gratuitement a MediaFire abans que fos eliminat. Els fets clau que va revelar l’anàlisi de Check Point Research són els següents:

  • 1.570+ víctimes reals, 332 publicades. El DLS de The Gentlemen mostrava 332 organitzacions. El dump intern va revelar més de 1.570 víctimes compromeses. La diferència són les organitzacions que van pagar el rescat en silènci i mai van ser publicades. És a dir: més del 78% de les seves víctimes van pagar i mai van aparèixer a les llistes públiques d’afectats.
  • L’administrador és un ex-afiliat de Qilin. L’operador central, identificat com zeta88/hastalamuerte, prové de l’ecosistema de Qilin — el mateix grup que va atacar Ahorramas a Espanya al maig de 2026. Va aprendre l’ofici com a afiliat i va construir el seu propi RaaS amb aquest coneixement, construint el panel complet usant assistents de codi d’IA (DeepSeek i Qwen).
  • Estructura corporativa de ~9 operadors. El grup té rols perfectament definits: administrador, gestors d’afiliats, especialistes en credencials, operadors d’infraestructura i un equip de desenvolupament actiu.
  • 90% de comissió per als afiliats. The Gentlemen ofereix als seus afiliats el 90% del rescat, enfront de l’estàndard del 80-85% del sector. Això els dóna avantatge competitiu per reclutar els millors operadors de l’ecosistema criminal.
  • Calibratge del rescat al sostre de la ciberassegurança. Els xats revelen que el grup creua les dades de les víctimes amb informació de ZoomInfo per estimar els seus ingressos i ajustar la demanda exactament al límit màxim de la seva pòliça de ciberassegurança. En un cas documentat, sabien que la víctima tenia un sostre de 10 milions de dòlars i van fixar la demanda exactament en aquella xifra.
  • Chain-victimization documentada. A l’abril de 2026, The Gentlemen va comprometre una consultora de programari al Regne Unit i va usar les dades robades per llançar un atac contra un dels clients d’aquella consultora a Turquia. Després van publicar totes dues organitzacions al seu DLS, anomenant explícitament la consultora britànica el seu “access broker” per a l’atac turc.
  • Vector d’entrada principal: credencials d’infostealers. Els xats mostren que l’equip d’accés inicial utilitza sistemàticament Snusbase i altres motors de cerca de logs d’infostealers per trobar credencials vàlides d’empleats. No necessiten exploits complexos: compren l’accés als comptes dels empleats perquè aquestes credencials ja estan a la venda al mercat underground.
  • Dispositius de vora sense pedaç com a porta del darrere. VPN appliances, tallafocs i remote access gateways sense pedaç són el segon vector més freqüent. El grup fa servir ~30 eines diferents un cop a dins, incloent EDR-killers, NTLM relay i desplegament de ransomware via GPO.

Per què The Gentlemen és un dels grups més perillosos per a les empreses espanyoles

The Gentlemen no és un actor aleatori en el panorama d’amenaces espanyol. Check Point Research el situa com el segon grup de ransomware més actiu del món el 2026, només per darrere de Qilin. Tres factors el fan un risc específic per al teixit empresarial espanyol:

  1. Úús sistemàtic d’infostealers per a l’accés inicial. Espanya té una alta taxa d’infecció per infostealers. Les credencials d’empleats espanyols estan disponibles al mercat underground. El model operatiu de The Gentlemen comença exactament aquí.
  2. Calibratge a la ciberassegurança. El model de The Gentlemen de creuar dades de revenue amb ZoomInfo per fixar el rescat exactament al sostre de l’assegurança converteix la pòliça en el punt de referència de l’extorsió.
  3. Chain-victimization com a arma estratègica. Una consultora IT, un integrador de sistemes o un proveïdor de serveis gestionats pot ser el punt d’entrada per a un atac en cadena que afecti els seus clients finals.

Com opera The Gentlemen: de l’accés inicial al rescat calibrat a la ciberassegurança

  1. Reconeixement i compra d’accés. L’equip d’accés inicial rastreja logs d’infostealers a plataformes com Snusbase per trobar credencials corporatives vàlides.
  2. Entrada i persistència inicial. Amb les credencials o la vulnerabilitat del dispositiu de vora, l’atacant entra a la xarxa i estableix persistència.
  3. Reconeixement intern i valoració. El grup usa ~30 eines per mapejar la xarxa interna i estimar el valor de la víctima. En paral·lel, creua les dades de l’empresa amb ZoomInfo per calibrar la demanda.
  4. Exfiltració de dades. Abans de xifrar, The Gentlemen exfiltra les dades més sensibles. La doble extorsió és estàndard.
  5. Xifratge i desplegament del ransomware. El ransomware es desplega via GPO. Xifra entorns Windows, Linux, NAS i ESXi. Els EDR-killers deshabiliten les solucions de detecció abans del xifratge.
  6. Negociació i pressió. La demanda es fixa al sostre de la ciberassegurança. Si la víctima no respon, publiquen el seu nom al DLS.

Lliçons clau per a directius, CISOs i equips SOC

  • El límit de la teva ciberassegurança no és un secret. Revelar el sostre de la teva pòliça en una negociació de rescat és el major error que pots cometre.
  • Les credencials d’infostealers dels teus empleats ja poden estar al mercat. Monitoritzar la presència de credencials corporatives al mercat underground és una mesura de defensa preventiva.
  • La teva seguretat depèn també de la dels teus proveïdors. Si la teva consultora IT o MSP és comprometès, tu és la següent víctima. La diligència deguda sobre la postura de seguretat dels proveïdors amb accés als teus sistemes ja no és opcional.
  • Pedaca els dispositius de vora com si les teves dades en depenguessin — perquè en depenen. VPN appliances, tallafocs i gateways sense pedaç són el segon vector d’entrada més freqüent.
  • Un EDR no és infal·lible sense monitoratge actiu. The Gentlemen usa EDR-killers abans de desplegar el ransomware.
  • El 78% de les víctimes va pagar i mai va sortir a les llistes. Pagar el rescat no garanteix l’eliminació de les dades i converteix la víctima en un objectiu conegut i pagador per a futurs atacs.

La ciberseguretat com a prioritat estratègica

La filtració interna de The Gentlemen és un manual de com operen els grups de ransomware més sofisticats del món: amb estructures corporatives, divisió de rols, desenvolupament àgil de programari amb IA, intel·ligència comercial sobre les seves víctimes i tàctiques de pressió psicològica dissenyades per maximitzar el cobrament.

Apolo Cybersecurity: intel·ligència tàctica i protecció contra grups RaaS com The Gentlemen

A Apolo Cybersecurity ajudem empreses espanyoles a protegir-se davant dels vectors que The Gentlemen i grups similars utilitzen sistemàticament: monitoratge de credencials compromeses al mercat underground, auditoria i hardening de dispositius de vora, avaluació de la postura de seguretat de proveïdors crítics, detecció d’EDR-killers i moviment lateral, i plans de resposta a ransomware que contemplen la doble extorsió i les implicacions de la ciberassegurança.

Si la teva organització té una pòliça de ciberassegurança i no ha revisat com gestiona la confidencialitat d’aquesta dada, o si algun proveïdor amb accés als teus sistemes no ha passat per una avaluació de seguretat recent, el playbook de The Gentlemen ja té en compte aquestes dues bretxes.

Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity