SystemBC otkrio više od 1.570 žrtava povezanih sa Gentlemen ransomware grupom
Check Point je, kroz analizu C2 servera povezanog sa malware-om SystemBC, otkrio botnet sa više od 1.570 kompromitovanih žrtava povezanih sa The Gentlemen ransomware operacijom. SystemBC služi za uspostavljanje SOCKS5 tunela, daljinski pristup i preuzimanje dodatnog malware-a, a u ovom slučaju se dovodi u vezu sa napadima koji uključuju bočno kretanje, onesposobljavanje zaštite i širenje ransomware-a kroz mrežu. The Gentlemen se od 2025. godine profilisao kao jedna od aktivnijih RaaS grupa, sa napadima na Windows, Linux, NAS, BSD i ESXi okruženja.
Neprijatni deo ove priče je to što javno poznate žrtve očigledno predstavljaju samo manji deo stvarnog obima operacije. Kada se na jednom serverskom čvorištu vidi više od hiljadu kompromitovanih mreža koje još nisu ni dospele u javnost, postaje jasno koliko se ransomware industrija oslanja na tihu pripremu, deljene alate i infrastrukturu koja ostaje nevidljiva dok ne bude kasno.
- Pratiti pojavu SOCKS5 tunela, neobičnih izlaznih veza i RC4-šifrovane komunikacije ka sumnjivim C2 adresama
- Nadzirati pokušaje gašenja Windows Defender-a, firewall-a i drugih zaštitnih mehanizama kroz PowerShell i GPO
- Proveriti izloženost internet servisima i kvalitet zaštite naloga koji mogu poslužiti za početni ulaz
- Posebno pratiti bočno kretanje, staging alata kao što su Cobalt Strike i SystemBC i širenje kroz domensko okruženje
- Testirati odgovor na incidente noću i vikendom, kada ransomware grupe sve češće tempiraju napade