Nel panorama del cybercrime globale si è fatto largo un nome che ormai fa tremare parecchie organizzazioni: The Gentlemen. Si tratta di un gruppo ransomware in fortissima crescita, che secondo uno studio di Check Point Research (CPR) sta ricalcando il percorso di LockBit, storicamente la cybergang più conosciuta del settore. I ricercatori ne seguono le tracce dalla prima comparsa, individuata circa a metà del 2025, e nel giro di un anno il gruppo ha messo in piedi un modello di business basato sul cosiddetto Ransomware-as-a-Service (RaaS) talmente efficace da farlo diventare una delle principali minacce per la sicurezza informatica su scala mondiale.
Il meccanismo, va detto, non è del tutto nuovo. The Gentlemen sviluppa e distribuisce strumenti e infrastrutture per organizzare attacchi ransomware, cioè quegli attacchi che puntano a crittografare file o bloccare l’accesso ai sistemi informatici delle vittime, chiedendo poi un riscatto per restituire il controllo. A portare a termine le operazioni sono gli affiliati, che poi dividono i guadagni con il gruppo. E qui arriva la vera trovata: The Gentlemen offre ai propri affiliati il 90% di ogni riscatto incassato, contro l’80% che rappresenta lo standard nel mondo della criminalità informatica. Quel 10% in più, apparentemente marginale, ha fatto la differenza. Ha attirato hacker esperti e operatori navigati, garantendo al gruppo un’ascesa rapidissima.
Vittime e strategia: chi finisce nel mirino di The Gentlemen
A rendere The Gentlemen particolarmente pericoloso non è solo il modello economico aggressivo, ma anche il profilo delle vittime. Nei primi mesi del 2026, il gruppo ha dichiarato di aver colpito 240 organizzazioni, dato pubblicato direttamente sul proprio sito di divulgazione dati. Secondo i ricercatori di CPR, gli attacchi si concentrano soprattutto su realtà con infrastrutture esposte e vulnerabili: dispositivi collegati a reti non aggiornate o configurate male, che diventano porte d’ingresso comode verso i sistemi aziendali. Non sorprende che la maggior parte delle vittime appartenga ai settori manifatturiero e tecnologico.
C’è però un aspetto decisamente poco “da gentiluomini”: il gruppo non risparmia nemmeno le aziende del settore sanitario, organizzazioni particolarmente sensibili e spesso prive di sistemi di protezione adeguati. Gli affiliati si infiltrano nei sistemi, seguono un percorso d’attacco ben strutturato che permette loro di raggiungere i livelli più profondi dell’infrastruttura aziendale e di distribuire il ransomware su tutti i dispositivi connessi, bloccando l’accesso al personale in modo praticamente indisturbato. Velocità, precisione e un tasso di successo altissimo: sono queste le caratteristiche che rendono i membri di The Gentlemen un incubo concreto per molte aziende negli Stati Uniti e in Europa.
Come possono difendersi le aziende
Il tratto comune che emerge dall’analisi di Check Point Research è chiaro: le vittime di questo gruppo ransomware presentano quasi sempre una totale, o quasi, assenza di sistemi di sicurezza adeguati. Proprio partendo da questa evidenza, gli esperti del settore raccomandano alle aziende e alle organizzazioni di aggiornare e configurare VPN, firewall e gateway di accesso remoto con la stessa urgenza riservata alle applicazioni web rivolte al pubblico, per evitare che i criminali possano sfruttare falle note e accedere ai sistemi informatici.
Un altro passaggio fondamentale è l’impostazione dell’autenticazione a due fattori, o comunque di forme di accesso privilegiato, per tutti gli account aziendali. Questo rende molto più difficile per i membri di The Gentlemen sfruttare credenziali rubate o compromesse. Gli esperti insistono anche sulla necessità di monitorare costantemente lo stato di sicurezza dell’azienda, verificando eventuali accessi illeciti o attività sospette, per avere la certezza che non ci siano presenze indesiderate all’interno dei propri sistemi.
