Martedi 07 Luglio 2026 03:22:43 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Ransomware ed estorsione

Il ransomware Gentlemen trasforma gli strumenti di amministrazione Windows in un motore di movimento laterale

Pubblicato: 06 Luglio 2026 14:12Categoria: Ransomware ed estorsioneArea: Nord America / USAAutore: HEXSENTINEL

Gentlemen, una piattaforma ransomware-as-a-service basata su Go, viene segnalata per l'uso di PsExec, WMIC e PowerShell Remoting per diffondersi nelle reti sfruttando percorsi di gestione Windows affidabili.

Gli operatori ransomware non hanno sempre bisogno di malware esotico per muoversi rapidamente. A volte basta loro utilizzare gli stessi strumenti di cui gli amministratori di sistema si fidano già. La famiglia ransomware Gentlemen viene segnalata come aderente a questo schema, abbinando una build basata su Go a funzionalità di esecuzione remota che possono confondersi con il normale traffico di gestione Windows. Questo rende la minaccia meno legata a una singola macchina infetta e più a quanto rapidamente un operatore criminale può muoversi lateralmente una volta entrato in una rete.

Fatti rapidi

  • Gentlemen viene descritto come un'operazione ransomware-as-a-service basata su Go attiva dalla metà del 2025.
  • La piattaforma viene segnalata per l'uso di PsExec, WMIC e PowerShell Remoting per la propagazione nella rete.
  • Questi strumenti si sovrappongono strettamente ai flussi di lavoro legittimi di amministrazione di Windows, il che può complicare il rilevamento.
  • WMIC è deprecato, ma WMI resta un framework di gestione attivo sui sistemi Windows.
  • PowerShell Remoting si basa su WinRM, quindi i controlli di accesso e la registrazione contano tanto quanto il blocco del malware.

Perché questo è tecnicamente importante

PsExec può copiare e avviare un programma su un host remoto, spesso creando un servizio temporaneo. WMIC fornisce accesso da riga di comando a Windows Management Instrumentation, che può essere usato per l'esecuzione remota e le interrogazioni del sistema. PowerShell Remoting si appoggia a WinRM ed è progettato per l'amministrazione legittima, ma può anche essere usato per eseguire comandi su più host quando credenziali e autorizzazioni lo consentono. In altre parole, il set di strumenti segnalato punta al movimento laterale, non solo alla cifratura.

Questa combinazione è utile agli aggressori perché riduce la necessità di malware personalizzato per l'accesso remoto. Può anche rendere l'attività più difficile da distinguere dal normale lavoro IT, soprattutto in ambienti in cui la gestione remota è ampiamente abilitata. Dal punto di vista difensivo, il pericolo non è solo il binario del malware, ma anche il piano di controllo affidabile che tenta di dirottare.

Al momento della scrittura, la catena di infezione esatta, il percorso di accesso iniziale e la piena portata operativa non sono qui verificati in modo indipendente. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva su ogni sistema coinvolto o sull'impatto a valle.

Cosa dovrebbero monitorare i difensori

I team di sicurezza dovrebbero cercare eventi di creazione di servizi legati a un'esecuzione remota inattesa, soprattutto quando un comportamento simile a PsExec appare al di fuori delle finestre di manutenzione approvate. Anche l'attività WMIC merita attenzione, perché il suo uso è sempre più insolito negli ambienti moderni e può risaltare quando è associato ad altri segnali di movimento laterale. Per PowerShell Remoting, le domande chiave sono chi può usarlo, da dove e quali endpoint sono autorizzati ad accettarlo.

In pratica, i controlli più efficaci non sono solo le firme del malware. Sono il principio del privilegio minimo, percorsi di amministrazione segmentati, accesso WinRM strettamente limitato sulle porte 5985 e 5986 e una registrazione che correli genealogia dei processi, eventi di autenticazione e creazione di servizi remoti. Se questi segnali sono visibili insieme, i difensori hanno più possibilità di individuare la propagazione prima che la cifratura si diffonda.

Conclusione

Gentlemen ricorda che il ransomware moderno non ha sempre bisogno di violare l'amministrazione di Windows. A volte gli basta prenderla in prestito. La lezione più ampia è semplice: se gli strumenti di gestione remota vengono trattati come idraulica di fondo innocua, possono diventare il percorso più breve da un host compromesso a molti altri. In questo senso, il piano di gestione non è più solo una comodità IT - fa parte della superficie di attacco.

TECHCROOK

Appliance firewall hardware: Un firewall per piccole imprese può aiutare a ridurre l'esposizione della gestione remota, segmentare il traffico amministrativo e registrare i tentativi di accesso nelle reti interne. È una soluzione pratica quando le organizzazioni vogliono un controllo più chiaro su WinRM, RDP e altri percorsi amministrativi senza fare affidamento solo sugli strumenti endpoint.

Scheda Techcrook: Appliance firewall hardware

WIKICROOK

  • PsExec: Uno strumento di Microsoft Sysinternals usato per eseguire processi su sistemi Windows remoti.
  • WMIC: Lo strumento da riga di comando di Windows Management Instrumentation; deprecato ma ancora rilevante in molti ambienti.
  • PowerShell Remoting: Una funzionalità di amministrazione remota che usa WinRM per eseguire comandi su altri host.
  • Movimento laterale: La fase in cui un aggressore si sposta da un sistema compromesso ad altri all'interno di una rete.
  • Ransomware-as-a-Service (RaaS): Un modello criminale in cui gli operatori affittano il ransomware ad affiliati in cambio di una quota dei profitti.