📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores de ameaças associados à operação de ransomware como serviço (RaaS) do The Gentlemen foram observados tentando implantar um malware proxy conhecido chamado SystemBC.
De acordo com uma nova pesquisa publicada pela Check Point, o servidor de comando e controle (C2 ou C&C) vinculado ao SystemBC levou à descoberta de uma botnet com mais de 1.570 vítimas.
“O SystemBC estabelece túneis de rede SOCKS5 dentro do ambiente da vítima e se conecta ao seu servidor C&C usando um protocolo criptografado RC4 personalizado”, disse a Check Point. Ele também pode baixar e executar malware adicional, com cargas gravadas no disco ou injetadas diretamente na memória.
Desde o seu surgimento em julho de 2025, The Gentlemen rapidamente se estabeleceu como um dos grupos de ransomware mais prolíficos, fazendo mais de 320 vítimas em seu site de vazamento de dados. Operando sob um modelo clássico de dupla extorsão, o grupo é versátil e sofisticado, exibindo capacidades para atingir sistemas Windows, Linux, NAS e BSD com um armário baseado em Go, além de empregar drivers legítimos e ferramentas maliciosas personalizadas para subverter as defesas.
Não está claro exatamente como os atores da ameaça obtêm o acesso inicial, embora as evidências sugiram que os serviços voltados para a Internet ou as credenciais comprometidas estão sendo abusadas para estabelecer uma posição inicial, seguida de envolvimento na descoberta, movimento lateral, preparação de carga útil (ou seja, Cobalt Strike, SystemBC e o criptografador), evasão de defesa e implantação de ransomware. Um aspecto notável dos ataques é o abuso de Objetos de Política de Grupo (GPOs) para facilitar o comprometimento de todo o domínio.
“Ao adaptar suas táticas contra fornecedores de segurança específicos, os Gentlemen demonstraram uma consciência aguda dos ambientes de seus alvos e uma disposição para se envolver em reconhecimento aprofundado e modificação de ferramentas ao longo de sua operação”, observou o fornecedor de segurança Trend Micro em uma análise da arte do grupo em setembro de 2025.
As últimas descobertas da Check Point mostram que uma afiliada do The Gentlemen RaaS implantou o SystemBC em um host comprometido, com o servidor C2 conectado ao malware proxy comandando centenas de vítimas em todo o mundo, incluindo os EUA, Reino Unido, Alemanha, Austrália e Romênia.
Embora o SystemBC tenha sido usado em operações de ransomware já em 2020, a natureza exata da conexão entre o malware e o esquema de crime eletrônico The Gentlemen permanece incerta, como se faz parte do manual de ataque ou se é algo implantado por uma afiliada específica para exfiltração de dados e acesso remoto.
“Durante o movimento lateral, o ransomware tenta cegar o Windows Defender em cada host remoto acessível, pressionando um script PowerShell que desativa o monitoramento em tempo real, adiciona amplas exclusões para a unidade, compartilhamento de teste e seu próprio processo, desliga o firewall, reativa o SMB1 e afrouxa os controles de acesso anônimo LSA, tudo antes de implantar e executar o binário do ransomware nesse host”, disse Check Point.
A variante ESXi incorpora menos funcionalidades que a variante Windows, mas está equipada para desligar máquinas virtuais para aumentar a eficácia do ataque, adiciona persistência via crontab e inibe a recuperação antes que o binário do ransomware seja implantado.
“A maioria dos grupos de ransomware fazem barulho quando são lançados e depois desaparecem. Os cavalheiros são diferentes”, disse Eli Smadja, gerente de grupo da Check Point Research, em comunicado compartilhado com o The Hacker News.
“Eles resolveram o problema de recrutamento de afiliados oferecendo um acordo melhor do que qualquer outra pessoa no ecossistema criminoso. Quando entramos nos servidores de um dos seus operadores, encontramos mais de 1.570 redes corporativas comprometidas que ainda nem tinham sido notícia.
As descobertas ocorrem no momento em que Rapid7 destaca o funcionamento interno de outra família de ransomware relativamente nova chamada Kyber, que surgiu em setembro de 2025, visando infraestruturas Windows e VMware ESXi usando criptografadores desenvolvidos em Rust e C++, respectivamente.
“A variante ESXi é construída especificamente para ambientes VMware, com recursos para criptografia de armazenamento de dados, terminação opcional de máquina virtual e desfiguração de interfaces de gerenciamento”, disse a empresa de segurança cibernética. "A variante do Windows, escrita em Rust, inclui um recurso auto-descrito 'experimental' para direcionar o Hyper-V."
“O ransomware Kyber não é uma obra-prima de código complexo, mas é altamente eficaz em causar destruição. Ele reflete uma mudança em direção à especialização em vez da sofisticação.”
De acordo com dados compilados pela ZeroFox, pelo menos 2.059 incidentes separados de ransomware e extorsão digital (R&DE) foram observados no primeiro trimestre de 2026, com março contabilizando nada menos que 747 incidentes. Os grupos mais ativos durante o tempo
De acordo com uma nova pesquisa publicada pela Check Point, o servidor de comando e controle (C2 ou C&C) vinculado ao SystemBC levou à descoberta de uma botnet com mais de 1.570 vítimas.
“O SystemBC estabelece túneis de rede SOCKS5 dentro do ambiente da vítima e se conecta ao seu servidor C&C usando um protocolo criptografado RC4 personalizado”, disse a Check Point. Ele também pode baixar e executar malware adicional, com cargas gravadas no disco ou injetadas diretamente na memória.
Desde o seu surgimento em julho de 2025, The Gentlemen rapidamente se estabeleceu como um dos grupos de ransomware mais prolíficos, fazendo mais de 320 vítimas em seu site de vazamento de dados. Operando sob um modelo clássico de dupla extorsão, o grupo é versátil e sofisticado, exibindo capacidades para atingir sistemas Windows, Linux, NAS e BSD com um armário baseado em Go, além de empregar drivers legítimos e ferramentas maliciosas personalizadas para subverter as defesas.
Não está claro exatamente como os atores da ameaça obtêm o acesso inicial, embora as evidências sugiram que os serviços voltados para a Internet ou as credenciais comprometidas estão sendo abusadas para estabelecer uma posição inicial, seguida de envolvimento na descoberta, movimento lateral, preparação de carga útil (ou seja, Cobalt Strike, SystemBC e o criptografador), evasão de defesa e implantação de ransomware. Um aspecto notável dos ataques é o abuso de Objetos de Política de Grupo (GPOs) para facilitar o comprometimento de todo o domínio.
“Ao adaptar suas táticas contra fornecedores de segurança específicos, os Gentlemen demonstraram uma consciência aguda dos ambientes de seus alvos e uma disposição para se envolver em reconhecimento aprofundado e modificação de ferramentas ao longo de sua operação”, observou o fornecedor de segurança Trend Micro em uma análise da arte do grupo em setembro de 2025.
As últimas descobertas da Check Point mostram que uma afiliada do The Gentlemen RaaS implantou o SystemBC em um host comprometido, com o servidor C2 conectado ao malware proxy comandando centenas de vítimas em todo o mundo, incluindo os EUA, Reino Unido, Alemanha, Austrália e Romênia.
Embora o SystemBC tenha sido usado em operações de ransomware já em 2020, a natureza exata da conexão entre o malware e o esquema de crime eletrônico The Gentlemen permanece incerta, como se faz parte do manual de ataque ou se é algo implantado por uma afiliada específica para exfiltração de dados e acesso remoto.
“Durante o movimento lateral, o ransomware tenta cegar o Windows Defender em cada host remoto acessível, pressionando um script PowerShell que desativa o monitoramento em tempo real, adiciona amplas exclusões para a unidade, compartilhamento de teste e seu próprio processo, desliga o firewall, reativa o SMB1 e afrouxa os controles de acesso anônimo LSA, tudo antes de implantar e executar o binário do ransomware nesse host”, disse Check Point.
A variante ESXi incorpora menos funcionalidades que a variante Windows, mas está equipada para desligar máquinas virtuais para aumentar a eficácia do ataque, adiciona persistência via crontab e inibe a recuperação antes que o binário do ransomware seja implantado.
“A maioria dos grupos de ransomware fazem barulho quando são lançados e depois desaparecem. Os cavalheiros são diferentes”, disse Eli Smadja, gerente de grupo da Check Point Research, em comunicado compartilhado com o The Hacker News.
“Eles resolveram o problema de recrutamento de afiliados oferecendo um acordo melhor do que qualquer outra pessoa no ecossistema criminoso. Quando entramos nos servidores de um dos seus operadores, encontramos mais de 1.570 redes corporativas comprometidas que ainda nem tinham sido notícia.
As descobertas ocorrem no momento em que Rapid7 destaca o funcionamento interno de outra família de ransomware relativamente nova chamada Kyber, que surgiu em setembro de 2025, visando infraestruturas Windows e VMware ESXi usando criptografadores desenvolvidos em Rust e C++, respectivamente.
“A variante ESXi é construída especificamente para ambientes VMware, com recursos para criptografia de armazenamento de dados, terminação opcional de máquina virtual e desfiguração de interfaces de gerenciamento”, disse a empresa de segurança cibernética. "A variante do Windows, escrita em Rust, inclui um recurso auto-descrito 'experimental' para direcionar o Hyper-V."
“O ransomware Kyber não é uma obra-prima de código complexo, mas é altamente eficaz em causar destruição. Ele reflete uma mudança em direção à especialização em vez da sofisticação.”
De acordo com dados compilados pela ZeroFox, pelo menos 2.059 incidentes separados de ransomware e extorsão digital (R&DE) foram observados no primeiro trimestre de 2026, com março contabilizando nada menos que 747 incidentes. Os grupos mais ativos durante o tempo
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #servidor #systembc #c2 #revela #mais #de #1.570 #vítimas #na #operação #gentlemen #ransomware
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário