Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Ransomware-от Gentlemen сега користи SystemBC за напади со ботнет

Објавено: 21.04.2026

Откриен е SystemBC прокси-малициозен ботнет со повеќе од 1.570 заразени хостови, за кои се верува дека се корпоративни жртви, по истрага на напад со Gentlemen ransomware извршен од партнер на групата.

Операцијата Gentlemen ransomware-as-a-service (RaaS) се појави околу средината на 2025 година и нуди „locker“ напишан во Go што може да шифрира Windows, Linux, NAS и BSD системи, како и „locker“ на C за ESXi хипервизори.

Минатиот декември, групата компромитираше еден од најголемите енергетски провајдери во Романија — Oltenia Energy Complex. Претходно овој месец, The Adaptavist Group откри пробив кој Gentlemen ransomware го наведе на својата страница за објавување на украдени податоци.

Иако RaaS операцијата јавно тврди околу 320 жртви, најголем дел од нападите се случиле оваа година. Истражувачите од Check Point открија дека партнерите на Gentlemen ransomware го прошируваат својот арсенал и инфраструктура за напади.

За време на одговор на инцидент, истражувачите утврдиле дека еден партнер се обидел да го распореди proxy malware-от за тајна испорака на злонамерен payload.

„Check Point Research забележа телеметрија од жртвите од релевантниот SystemBC command-and-control сервер, откривајќи ботнет со над 1.570 жртви, при што профилот на инфекцијата силно укажува на фокус кон корпоративни и организациски средини, наместо кон случајни индивидуални корисници“, се вели во извештајот.

SystemBC постои најмалку од 2019 година и се користи за SOCKS5 тунелирање. Поради неговата способност за испорака на злонамерни payload-и, брзо беше усвоен од ransomware групите.

И покрај акцијата на органите на редот што го погоди во 2024 година, ботнетот сè уште е активен. Минатата година, Black Lotus Labs објави дека заразувал околу 1.500 комерцијални VPS (virtual private servers) дневно за пренасочување на малициозен сообраќај.

Според Check Point, најголем дел од жртвите поврзани со користењето на SystemBC од страна на Gentlemen се наоѓаат во САД, Обединетото Кралство, Германија, Австралија и Романија.

Локација на заразените организации

„Конкретниот Command-and-Control сервер што се користел за комуникација заразил голем број жртви ширум светот. Веројатно е дека најголемиот дел од тие жртви се компании и организации, бидејќи SystemBC обично се користи како дел од напади управувани од луѓе, а не за масовно таргетирање“, соопшти Check Point.

Истражувачите не се сигурни како точно SystemBC се вклопува во екосистемот на Gentlemen ransomware и не можеле да утврдат дали малициозниот софтвер бил користен од повеќе партнери.

Инфекциски синџир и шема на енкрипција

Иако Check Point не успеал да го утврди почетниот вектор на пристап во набљудуваните напади, истражувачите велат дека напаѓачот делувал од Domain Controller со Domain Admin привилегии.

Оттаму, напаѓачот проверувал кои креденцијали функционираат и спроведувал извидување (reconnaissance), пред да распореди Cobalt Strike payload-и на оддалечени системи преку RPC.

Латералното движење било овозможено преку собирање креденцијали со Mimikatz и далечинско извршување. Напаѓачите го подготвиле ransomware-от од внатрешен сервер и искористиле вградени механизми за ширење и Group Policy (GPO) за да активираат речиси истовремено извршување на енкрипторот на системите поврзани во доменот.

Синџир на напад на партнер на Gentlemen ransomware

Според истражувачите, малициозниот софтвер користи хибридна шема базирана на X25519 (Diffie–Hellman) и XChaCha20, при што за секоја датотека се генерира случаен привремен (ephemeral) пар клучеви.

Датотеките помали од 1 MB се целосно енкриптирани, додека кај поголемите датотеки се енкриптираат само делови од податоците — приближно 9%, 3% или 1%.

Пред енкрипцијата, Gentlemen ransomware ги прекинува базите на податоци, софтверот за резервни копии (backup) и процесите за виртуелизација, а исто така ги брише Shadow копиите и логовите.

ESXi варијантата дополнително ги исклучува виртуелните машини (VMs) за да обезбеди дека дисковите може да бидат енкриптирани.

Порака за откуп (ransom note) на ESXi варијантата

Gentlemen ransomware не се појавува често во насловите, но Check Point предупредува дека оваа RaaS операција брзо расте и активно регрутира нови партнери преку underground форуми.

Истражувачите сметаат дека користењето на SystemBC заедно со Cobalt Strike и ботнет од 1.570 хостови укажува дека групата зад Gentlemen ransomware сега функционира на повисоко ниво, „активно интегрирајќи се во поширок екосистем од зрели алатки за пост-експлоатација и прокси инфраструктура.“

Покрај индикаторите за компромитација (IoC) собрани од истрагата, Check Point обезбедува и детекција базирана на потписи во форма на YARA правило, за да им помогне на бранителите да се заштитат од вакви напади.

Извори:

  • Bleeping Computer – The Gentlemen ransomware now uses SystemBC for bot-powered attacks Bleeping Computer