Basado en información de The Hacker News →
Introducción
Cuando un grupo de ransomware invierte en desarrollo propio para desactivar las defensas del objetivo antes de encriptar, la pelea se traslada a un terreno donde el atacante elige el campo de batalla. El caso de Gentlemen RaaS y su framework GentleKiller muestra hasta dónde llega la profesionalización del crimen cibernético.
El problema
Según un reporte de The Hacker News, la operación de ransomware como servicio (RaaS) conocida como Gentlemen mantiene y mejora activamente un conjunto de herramientas diseñadas para neutralizar sistemas de detección y respuesta en endpoints (EDR). Este arsenal, que sus afiliados reciben para inhabilitar las defensas antes de ejecutar el cifrador, está centrado en un framework propio bautizado como GentleKiller. La fuente indica que el grupo también incorpora herramientas de terceros o de código abierto, lo que amplía su capacidad para atacar una lista documentada de aproximadamente 400 procesos de seguridad.
Consecuencias
Si un afiliado de Gentlemen logra apagar los sensores de EDR, antivirus y monitoreo de integridad antes de que el ransomware se ejecute, la organización víctima pierde su capacidad de detección temprana. El cifrado masivo ocurre sin alertas, sin posibilidad de contención automática y, en muchos casos, sin respaldo limpio porque el atacante ya tuvo tiempo para moverse lateralmente y sabotear las copias. El impacto no es solo la pérdida de datos, sino el tiempo de inactividad operativa y el costo de recuperación forense.