Blog
RansomwareMalware AutopropaganteMovimento LateraleNetwork Detection

Ransomware The Gentlemen: il worm autopropagante che l'EDR non vede

The Gentlemen (Storm-2697) ha trasformato il suo encryptor in un worm con 21 tecniche di movimento laterale — e disattiva Defender su ogni host. Perché la rete vede ciò che l'endpoint non può.

Zero Hunt Research··8 min di lettura

Da cinque anni i gruppi ransomware ottimizzano una sola variabile: la distanza tra l'accesso iniziale e la cifratura completa. Riduci quella finestra e superi in velocità la risposta del difensore. The Gentlemen — che Microsoft traccia come Storm-2697 — l'ha azzerata col metodo brutale: hanno innestato un worm sull'encryptor. Esegui il binario con il singolo flag --spread e smette di essere un locker mono-host per diventare un agente autopropagante che si copia su ogni macchina raggiungibile, con ventuno metodi diversi, in parallelo. All'11 giugno il gruppo rivendicava 478 vittime, e la capacità di propagazione è ciò che ha spostato la notizia da "l'ennesimo RaaS" a "la cosa contro cui il tuo contratto di incident response sta per essere messo alla prova".

Il punto non è che i worm siano una novità — Conficker e WannaCry sono già nel registro dei precedenti storici di questo blog. È che la versione moderna è costruita per battere il controllo che quasi tutte le organizzazioni hanno effettivamente adottato dopo il 2017: l'agente sull'endpoint. Lo spreader di The Gentlemen disattiva Microsoft Defender su ogni host che raggiunge, prima di fare qualsiasi altra cosa. La superficie di detection su cui il tuo SOC tiene gli occhi si spegne host dopo host, nell'ordine in cui il worm arriva. Questo articolo spiega perché quella scelta di design funziona, e cosa resta per vederlo una volta che è partito.

Perché il ransomware autopropagante rompe la timeline di risposta

La kill-chain ransomware classica ha fasi discrete e a passo umano: phishing o exploit perimetrale, furto di credenziali, ricognizione, movimento laterale, escalation di privilegi, infine deployment. Ogni fase è un'occasione di intervento. L'economia del pentest annuale e del tabletop trimestrale presuppone che quelle fasi durino giorni.

Un encryptor autopropagante comprime la seconda metà di quella catena in pochi secondi di fan-out a passo macchina. Una volta che l'operatore ha un punto d'appoggio con privilegi sufficienti, --spread fa il resto senza alcun umano nel loop. L'analisi Microsoft dell'encryptor scritto in Go descrive una build che, per ogni bersaglio, prova 21 tecniche distinte di esecuzione remota finché una non va a segno. Non sceglie un metodo e prosegue: le spara tutte.

Responsabile IR, seconda ora: "Abbiamo isolato il paziente zero." Network engineer: "Il paziente zero ha già spinto su quarantatré host prima che lo isolassi. Diciannove hanno già propagato a loro volta. Quale vuoi chiamare paziente zero, adesso?"

Quello scambio è l'intero problema. In un evento worm non c'è un singolo host indice da contenere, perché il contenimento sta facendo la corsa con la replicazione, e la replicazione non dorme.

Dentro il worm di The Gentlemen: 21 modi per raggiungere l'host successivo

Lo spreader è metodico, e quasi tutto poggia su primitive legittime di amministrazione Windows. Dall'analisi Microsoft, la sequenza per bersaglio è in sintesi:

  • Staging locale — si copia in C:\Temp, crea una share SMB nascosta share$ con accesso anonimo, e modifica il registro per consentire l'accesso anonimo alle condivisioni di rete.
  • Consegna del payload — deposita il binario sul bersaglio attraverso la share amministrativa C$, oppure estrae un PsExec incorporato (con fallback sul servizio Sysinternals Live di Microsoft se la copia incorporata viene bloccata).
  • Esecuzione remota — innescata tramite quello che funziona tra: PsExec come SYSTEM, creazione di processi remoti via WMIC, scheduled task (DefU, UpdateGU, UpdateGU2), servizi Windows (DefSvc, UpdateSvc, UpdateSvc2), PowerShell Invoke-Command su WinRM (TCP 5985/5986) e l'interfaccia della classe WMI di PowerShell direttamente.
  • Blob di evasione pre-deployment — eseguito su ogni bersaglio prima del payload: disattiva Defender, disattiva il Windows Firewall su tutti i profili, riabilita SMB1, allenta le restrizioni di accesso anonimo LSA e amplia i permessi NTFS.

Rileggi l'ultimo punto. Il worm non sfrutta una vulnerabilità per spostarsi: usa la rete come farebbe un amministratore di dominio, e spegne le difese di ogni macchina come passaggio preparatorio. È per questo che la detection sull'endpoint, anche quella comportamentale, va in difficoltà: l'istante in cui l'agente potrebbe alzare un allarme è l'istante in cui gli è già stato detto di smettere di monitorare.

All'arrivo, l'encryptor effettua escalation registrando uno scheduled task gentlemen_system che gira come SYSTEM, termina oltre 50 processi per liberare i lock sui file (SQL Server, Oracle, PostgreSQL, più lo stack di backup — Veeam, Acronis — e gli agenti EDR), elimina le Volume Shadow Copy e cancella event log, prefetch, log RDP e cronologia PowerShell dietro di sé. I file vengono cifrati uno a uno con una chiave Curve25519 effimera, uno scambio ECDH contro la chiave pubblica incorporata dell'operatore e un cifrario a flusso XChaCha20, poi rinominati con estensione .umc16h. I file grandi vengono cifrati solo parzialmente — 9% di default, fino allo 0,3% in modalità "ultrafast" — perché per un worm in corsa col contenimento la velocità batte la completezza.

Come entra The Gentlemen

La propagazione è la seconda metà. La prima è poco spettacolare e del tutto familiare. Il profilo del gruppo di Check Point Research — che ha contato 332 vittime pubbliche nei primi cinque mesi del 2026, posizionandolo come secondo RaaS più produttivo del periodo — colloca l'accesso iniziale dritto sui dispositivi perimetrali esposti su Internet: VPN Fortinet FortiGate, appliance edge Cisco, interfacce di management esposte. Il gruppo è stato osservato mentre tracciava e armava CVE-2024-55591, il bypass di autenticazione dell'interfaccia di management di FortiOS che da tempo figura nel catalogo CISA Known Exploited Vulnerabilities, insieme a CVE-2025-32433 (SSH di Erlang/OTP) e CVE-2025-33073 (NTLM relay). Dove non possono sfruttare un exploit, ricorrono al brute-force o comprano l'accesso dai broker.

Per il comando e controllo si appoggiano a strumenti che si confondono col traffico normale — Velociraptor, tunnel Cloudflare Zero Trust, un framework custom chiamato ZeroPulse — e gli operatori sono stati visti sperimentare LLM cinesi (DeepSeek, Qwen, Kimi) come supporto allo sviluppo. La conclusione per un difensore: il perimetro è la porta, e quella porta è un insieme noto e testabile di CVE e interfacce esposte. Il worm parte solo se la porta si è aperta.

Il punto cieco: il tuo EDR è la prima vittima

Affianca le due metà e il problema di detection diventa evidente. I controlli su cui poggia la maggior parte delle organizzazioni sono esattamente quelli che il worm neutralizza lungo il percorso.

Controllo Cosa dovrebbe intercettare Perché non ci riesce, contro questo worm
EDR / Defender sull'endpoint Esecuzione di processi malevoli, comportamento di cifratura Disattivato dal blob di evasione prima che il payload giri su ogni host
Firewall host Connessioni in ingresso del movimento laterale Spento su tutti i profili come passaggio preparatorio
Backup / shadow copy Ripristino dopo la cifratura Agenti di backup terminati, VSS eliminate, log cancellati
Correlazione log SIEM Ricostruzione a posteriori Event log cancellati host per host; il worm supera in velocità il ciclo del digest
Pentest annuale / trimestrale Validare il perimetro prima dell'attacco Cadenza sbagliata — fotografia istantanea, cieca sul percorso di fan-out

Ciò che sopravvive a questa lista ha una cosa in comune: non vive sull'host che viene compromesso. Non puoi disattivare dall'interno di una macchina la cosa che osserva quella macchina dalla rete.

Che aspetto ha un worm autopropagante sul filo

Ecco l'asimmetria che l'attaccante non può progettare via. Il blob di evasione può zittire Defender, svuotare l'event log e terminare l'agente di backup — ma ognuna delle 21 tecniche di propagazione è una conversazione di rete, e quelle conversazioni hanno una forma che nulla di normale produce. Una singola workstation non, nell'arco di novanta secondi:

  • apre sessioni SMB autenticate verso decine di host interni e scrive sulle loro share C$ e ADMIN$;
  • spara chiamate WinRM (5985/5986) Invoke-Command e richieste DCOM/RPC di creazione processi WMI in un pattern di fan-out da una sorgente a molte destinazioni;
  • enumera le lettere di unità A–Z e le share CSV su una subnet;
  • e poi mostra immediatamente il pattern di scrittura sequenziale rapido e ad alta entropia della cifratura di massa contro quelle stesse share.

Quella sequenza — fan-out laterale privilegiato immediatamente seguito da scritture di cifratura in corso — è la firma comportamentale canonica di un ransomware worm-capable in piena detonazione. È visibile mentre i file sono ancora in fase di lock, non nel digest SIEM del mattino dopo, e soprattutto è visibile a prescindere da cosa il worm abbia fatto agli endpoint, perché il rilevatore non sta sugli endpoint.

È esattamente lo scenario per cui è stato costruito il pilastro AI Traffic Analysis di Zero Hunt. Un modello di deep learning proprietario, addestrato su miliardi di sequenze PCAP, esegue quattro teste di inferenza parallele — traffico sospetto, classificazione malware, identificazione del tipo di attacco, fingerprinting applicativo — localmente sulla GPU dell'appliance a 2,7+ Gbit/s, senza alcun callback verso il cloud. Non gli serve una firma specifica per The Gentlemen: valuta il comportamento, il fan-out SMB/WinRM/DCOM da uno a molti e il pattern di scrittura della cifratura che segue, mentre sta accadendo. Quando gli agenti sull'endpoint si stanno spegnendo host dopo host, il modello wire-side è il testimone che il worm non può raggiungere per zittirlo — perché vive sull'appliance, non sulle vittime.

La prima metà della kill-chain spetta al secondo pilastro. The Gentlemen entrano attraverso un insieme noto e finito di esposizioni perimetrali — FortiGate, Cisco, interfacce di management, le stesse CVE che riusano da una campagna all'altra. Il pentest generativo a 10 agenti di Zero Hunt valida quella superficie in modo continuo invece che una volta l'anno: gli agenti Recon ed Exploit testano il perimetro proprio per le condizioni di accesso da cui dipende questo gruppo, e gli agenti Pivot e Post-Exploit provano il percorso laterale assumendo la compromissione — gli stessi canali SMB, WinRM e WMI che il worm spara — così trovi la porta aperta e il fan-out raggiungibile prima che lo faccia un affiliato con un flag --spread. Ogni catena viene back-testata nell'AI Gym prima di essere eseguita, e ogni finding è firmato in ECDSA per la catena di custodia. Un worm chiude la finestra di risposta a pochi secondi; l'unica risposta praticabile è aver già testato il percorso che prende e stare osservando il filo che deve attraversare.

Se l'ultima validazione del perimetro FortiGate e del percorso laterale interno è stata un esercizio puntuale, è di questo che vale la pena parlare. Per come è architettata l'appliance on-prem, vedi la panoramica della piattaforma; per il più ampio spostamento dalla scoperta del ransomware a fatto compiuto, l'analisi sul ransomware exfiltration-only copre il gap di detection adiacente.