🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um botnet de malware proxy SystemBC com mais de 1.570 hosts, que se acredita serem vÃtimas corporativas, foi descoberto após uma investigação sobre um ataque de ransomware Gentlemen realizado por uma gangue afiliada.
A operação Gentlemen ransomware-as-a-service (RaaS) surgiu em meados de 2025 e fornece um armário baseado em Go que pode criptografar sistemas Windows, Linux, NAS e BSD, e um armário baseado em C para hipervisores ESXi.
Em Dezembro passado, comprometeu um dos maiores fornecedores de energia da Roménia, o Complexo Energético Oltenia. No inÃcio deste mês, o Adaptavist Group divulgou uma violação que o ransomware Gentlemen listou em seu site de vazamento de dados.
Embora a operação RaaS tenha reivindicado publicamente cerca de 320 vÃtimas, na maioria dos ataques ocorridos este ano, os pesquisadores da Check Point descobriram que as afiliadas do ransomware Gentlemen estão expandindo seu kit de ferramentas e infraestrutura de ataque.
Durante um trabalho de resposta a incidentes, os pesquisadores descobriram que uma afiliada da operação de ransomware tentou implantar o malware proxy para entrega secreta de carga útil.
“A Check Point Research observou a telemetria das vÃtimas a partir do servidor de comando e controlo relevante do SystemBC, revelando uma botnet com mais de 1.570 vÃtimas, com o perfil de infecção sugerindo fortemente um foco em ambientes corporativos e organizacionais, em vez de uma segmentação oportunista de consumidores”, afirmam os investigadores num relatório divulgado hoje.
SystemBC existe desde pelo menos 2019 e é usado para tunelamento SOCKS5. Devido à sua capacidade de entregar cargas maliciosas, ele foi rapidamente adotado e também para enviar cargas maliciosas. Sua capacidade de introduzir cargas úteis em sistemas infectados foi rapidamente adotada por gangues de ransomware.
Apesar de uma operação policial que o afetou em 2024, o botnet permanece ativo e, no ano passado, o Black Lotus Labs relatou que estava infectando 1.500 servidores virtuais privados (VPS) comerciais todos os dias para canalizar tráfego malicioso.
De acordo com a Check Point, a maioria das vÃtimas ligadas à implantação do SystemBC por Gentlemen está localizada nos Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia.
Localização das organizações infectadasFonte: Check Point
“O servidor de Comando e Controle especÃfico usado para a comunicação infectou um grande número de vÃtimas em todo o mundo. É provável que a maioria dessas vÃtimas sejam empresas e organizações, dado que o SystemBC é normalmente implantado como parte de fluxos de trabalho de intrusão operados por humanos, em vez de alvos massivos”, diz Check Point.
Os pesquisadores não têm certeza de como o SystemBC se encaixa no ecossistema do ransomware Gentlemen e não conseguiram determinar se o malware foi usado por vários afiliados.
Cadeia de infecção e esquema de criptografia
Embora a Check Point não tenha conseguido determinar o vetor de acesso inicial nos ataques observados, os pesquisadores dizem que o agente da ameaça Gentlemen operava a partir de um controlador de domÃnio com privilégios de administrador de domÃnio.
A partir daÃ, o invasor verificou quais credenciais funcionavam e conduziu o reconhecimento antes de implantar cargas úteis do Cobalt Strike em sistemas remotos via RPC.
O movimento lateral foi apoiado pela coleta de credenciais usando Mimikatz e execução remota. Os invasores prepararam o ransomware a partir de um servidor interno e aproveitaram a propagação integrada e a PolÃtica de Grupo (GPO) para acionar a execução quase simultânea do criptografador em sistemas associados ao domÃnio.
Cadeia de ataque de afiliados de ransomware GentlemenFonte: Check Point
Segundo os pesquisadores, o malware usa um esquema hÃbrido baseado em X25519 (Diffie – Hellman) e XChaCha20, com um par de chaves efêmeras aleatórias gerado para cada arquivo.
Arquivos com menos de 1 MB são totalmente criptografados, enquanto com arquivos maiores apenas pedaços de dados de cerca de 9%, 3% ou 1% foram criptografados.
Antes da criptografia, o ransomware Gentlemen encerra bancos de dados, software de backup e processos de virtualização, e exclui cópias de sombra e logs. A variante ESXi também desliga VMs para garantir que os discos possam ser criptografados.
Nota de resgate da variante ESXiFonte: Check Point
O ransomware Gentlemen não chega às manchetes com frequência, mas a Check Point alerta que o RaaS está crescendo rapidamente, anunciando o recrutamento de novos afiliados de ransomware por meio de fóruns clandestinos.
Os pesquisadores acreditam que o uso do SystemBC com o Cobalt Strike e a botnet de 1.570 hosts pode indicar que a gangue de ransomware Gentlemen está agora operando em um nÃvel mais alto, "integrando-se ativamente em uma cadeia de ferramentas mais ampla de estruturas maduras pós-exploração e infraestrutura de proxy".
Além dos indicadores de comprometimento (IoCs) coletados do incidente investigado, a Check Point também fornece detecção baseada em assinaturas na forma de uma regra YARA para ajudar os defensores a se protegerem contra tais ataques.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou o renderizador e o sandbo do sistema operacional
A operação Gentlemen ransomware-as-a-service (RaaS) surgiu em meados de 2025 e fornece um armário baseado em Go que pode criptografar sistemas Windows, Linux, NAS e BSD, e um armário baseado em C para hipervisores ESXi.
Em Dezembro passado, comprometeu um dos maiores fornecedores de energia da Roménia, o Complexo Energético Oltenia. No inÃcio deste mês, o Adaptavist Group divulgou uma violação que o ransomware Gentlemen listou em seu site de vazamento de dados.
Embora a operação RaaS tenha reivindicado publicamente cerca de 320 vÃtimas, na maioria dos ataques ocorridos este ano, os pesquisadores da Check Point descobriram que as afiliadas do ransomware Gentlemen estão expandindo seu kit de ferramentas e infraestrutura de ataque.
Durante um trabalho de resposta a incidentes, os pesquisadores descobriram que uma afiliada da operação de ransomware tentou implantar o malware proxy para entrega secreta de carga útil.
“A Check Point Research observou a telemetria das vÃtimas a partir do servidor de comando e controlo relevante do SystemBC, revelando uma botnet com mais de 1.570 vÃtimas, com o perfil de infecção sugerindo fortemente um foco em ambientes corporativos e organizacionais, em vez de uma segmentação oportunista de consumidores”, afirmam os investigadores num relatório divulgado hoje.
SystemBC existe desde pelo menos 2019 e é usado para tunelamento SOCKS5. Devido à sua capacidade de entregar cargas maliciosas, ele foi rapidamente adotado e também para enviar cargas maliciosas. Sua capacidade de introduzir cargas úteis em sistemas infectados foi rapidamente adotada por gangues de ransomware.
Apesar de uma operação policial que o afetou em 2024, o botnet permanece ativo e, no ano passado, o Black Lotus Labs relatou que estava infectando 1.500 servidores virtuais privados (VPS) comerciais todos os dias para canalizar tráfego malicioso.
De acordo com a Check Point, a maioria das vÃtimas ligadas à implantação do SystemBC por Gentlemen está localizada nos Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia.
Localização das organizações infectadasFonte: Check Point
“O servidor de Comando e Controle especÃfico usado para a comunicação infectou um grande número de vÃtimas em todo o mundo. É provável que a maioria dessas vÃtimas sejam empresas e organizações, dado que o SystemBC é normalmente implantado como parte de fluxos de trabalho de intrusão operados por humanos, em vez de alvos massivos”, diz Check Point.
Os pesquisadores não têm certeza de como o SystemBC se encaixa no ecossistema do ransomware Gentlemen e não conseguiram determinar se o malware foi usado por vários afiliados.
Cadeia de infecção e esquema de criptografia
Embora a Check Point não tenha conseguido determinar o vetor de acesso inicial nos ataques observados, os pesquisadores dizem que o agente da ameaça Gentlemen operava a partir de um controlador de domÃnio com privilégios de administrador de domÃnio.
A partir daÃ, o invasor verificou quais credenciais funcionavam e conduziu o reconhecimento antes de implantar cargas úteis do Cobalt Strike em sistemas remotos via RPC.
O movimento lateral foi apoiado pela coleta de credenciais usando Mimikatz e execução remota. Os invasores prepararam o ransomware a partir de um servidor interno e aproveitaram a propagação integrada e a PolÃtica de Grupo (GPO) para acionar a execução quase simultânea do criptografador em sistemas associados ao domÃnio.
Cadeia de ataque de afiliados de ransomware GentlemenFonte: Check Point
Segundo os pesquisadores, o malware usa um esquema hÃbrido baseado em X25519 (Diffie – Hellman) e XChaCha20, com um par de chaves efêmeras aleatórias gerado para cada arquivo.
Arquivos com menos de 1 MB são totalmente criptografados, enquanto com arquivos maiores apenas pedaços de dados de cerca de 9%, 3% ou 1% foram criptografados.
Antes da criptografia, o ransomware Gentlemen encerra bancos de dados, software de backup e processos de virtualização, e exclui cópias de sombra e logs. A variante ESXi também desliga VMs para garantir que os discos possam ser criptografados.
Nota de resgate da variante ESXiFonte: Check Point
O ransomware Gentlemen não chega às manchetes com frequência, mas a Check Point alerta que o RaaS está crescendo rapidamente, anunciando o recrutamento de novos afiliados de ransomware por meio de fóruns clandestinos.
Os pesquisadores acreditam que o uso do SystemBC com o Cobalt Strike e a botnet de 1.570 hosts pode indicar que a gangue de ransomware Gentlemen está agora operando em um nÃvel mais alto, "integrando-se ativamente em uma cadeia de ferramentas mais ampla de estruturas maduras pós-exploração e infraestrutura de proxy".
Além dos indicadores de comprometimento (IoCs) coletados do incidente investigado, a Check Point também fornece detecção baseada em assinaturas na forma de uma regra YARA para ajudar os defensores a se protegerem contra tais ataques.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou o renderizador e o sandbo do sistema operacional
#samirnews #samir #news #boletimtec #o #ransomware #gentlemen #agora #usa #systembc #para #ataques #movidos #por #bot
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário