La justicia se impuso: el grupo "The Gentlemen" ya no recibirá ni un centavo de las víctimas.
Derrotan a los hackers con su propio código: expertos hallan cómo recuperar datos sin pagar el rescate
Las víctimas del ransomware The Gentlemen recibieron por primera vez la oportunidad de recuperar sus archivos sin pagar el rescate. La empresa canadiense Bedrock Safeguard informó sobre un método público para descifrar datos cifrados por esta familia, también conocida como hastalamuerte, que para el primer trimestre de 2026 acumuló más de 320 víctimas confirmadas.
Según Bedrock Safeguard, The Gentlemen sigue siendo uno de los grupos RaaS más activos. Anteriormente, grandes compañías como Cybereason, Group-IB, Check Point, ASEC y Trend Micro consideraban el esquema de cifrado prácticamente invulnerable desde el punto de vista criptográfico. Los autores del nuevo informe subrayan que el algoritmo en sí no fue quebrantado. La debilidad estuvo en su implementación.
The Gentlemen utiliza el cifrado en flujo XChaCha20 y el intercambio de claves X25519 ECDH. Para cada archivo se crea un par temporal de claves distinto, por lo que ataques de fuerza bruta directos no tienen sentido. Sin embargo, el malware está escrito en Go, y el tiempo de ejecución del lenguaje no limpia los datos criptográficos del stack de las gorutinas ni de la memoria tras finalizar las operaciones. Como resultado, las claves privadas temporales pueden permanecer en la memoria del proceso mientras el cifrador está en ejecución.
Bedrock Safeguard afirma que un volcado de memoria del proceso es suficiente para extraer las claves necesarias para descifrar los archivos. En la prueba, el equipo recuperó 35 de 35 archivos con una precisión del 100 %, y la búsqueda de todas las claves tomó 0,6 segundos. Dicho volcado podría haberse guardado en sistemas EDR o XDR, en el equipo de respuesta a incidentes, en Windows Error Reporting, en volcados por fallo, en una imagen completa de la memoria RAM o en el archivo de hibernación.
La empresa también publicó indicadores de compromiso. Entre ellos figuran la nota README-GENTLEMEN.txt, el final de archivo con la marca GENTLEMEN, la extensión aleatoria de los archivos cifrados, la eliminación de copias en sombra mediante vssadmin y wmic, la adición de exclusiones en Windows Defender, la eliminación de archivos Prefetch, la detención de servicios de bases de datos, de respaldo y de protección, así como el cambio de fondo de pantalla a gentlemen.bmp.
El informe relaciona el hallazgo con recuperaciones de claves anteriores como la de WannaCry, descrita en 2017 por Adrien Guinet. Según Bedrock Safeguard, esta nueva publicación es el primer ejemplo público de extracción de claves temporales X25519 desde la memoria contra una familia de ransomware. Se informó del hallazgo al Centro Canadiense de Ciberseguridad y a la RCMP NC3. La empresa también presentó el servicio público Bedrock RansomGuard, que debería detectar automáticamente el cifrado y guardar la memoria del proceso mientras aún sea posible extraer las claves.