Обнаружен ботнет вредоносного ПО-прокси SystemBC, насчитывающий более 1570 хостов, предположительно являющихся корпоративными жертвами. Это стало результатом расследования атаки программы-вымогателя Gentlemen, осуществленной аффилированным лицом банды.
Операция Ransomware-as-a-Service (RaaS) Gentlemen появилась примерно в середине 2025 года и предлагает шифровальщик на языке Go, способный шифровать системы Windows, Linux, NAS и BSD, а также шифровальщик на языке C для гипервизоров ESXi.
В декабре прошлого года жертвой атаки стала одна из крупнейших энергетических компаний Румынии — Oltenia Energy Complex. Ранее в этом месяце The Adaptavist Group сообщила об утечке данных, которая была зафиксирована в списке жертв программы-вымогателя Gentlemen на ее сайте утечек.
Хотя RaaS-операция публично заявляла примерно о 320 жертвах, причем большинство атак произошло в этом году, исследователи Check Point обнаружили, что аффилированные лица Gentlemen расширяют свой набор инструментов для атак и инфраструктуру.
В ходе реагирования на инцидент исследователи обнаружили, что аффилированное лицо операции по распространению программ-вымогателей пыталось развернуть прокси-вредоносное ПО для скрытой доставки полезной нагрузки.
«Исследователи Check Point наблюдали телеметрию жертв с соответствующего сервера командно-контрольного центра SystemBC, выявив ботнет из более чем 1570 жертв, при этом профиль заражения убедительно указывает на нацеленность на корпоративные и организационные среды, а не на случайный потребительский таргетинг», — заявляют исследователи сегодня в отчете.
SystemBC существует как минимум с 2019 года и используется для туннелирования SOCKS5. Благодаря своей способности доставлять вредоносные полезные нагрузки, он был быстро принят, а также для отправки вредоносных полезных нагрузок. Его способность внедрять полезные нагрузки в зараженные системы была быстро принята бандами программ-вымогателей.
Несмотря на операцию правоохранительных органов, затронувшую его в 2024 году, ботнет остается активным, и в прошлом году Black Lotus Labs сообщила, что он ежедневно заражает 1500 коммерческих виртуальных частных серверов (VPS) для перенаправления вредоносного трафика.
По данным Check Point, большинство жертв, связанных с развертыванием SystemBC бандой Gentlemen, находятся в Соединенных Штатах, Великобритании, Германии, Австралии и Румынии.
«Сервер командно-контрольного центра, использовавшийся для связи, заразил большое количество жертв по всему миру. Вероятно, большинство этих жертв — компании и организации, поскольку SystemBC обычно развертывается как часть управляемых вручную рабочих процессов вторжения, а не в результате массового таргетинга», — сообщает Check Point.
Исследователи не уверены, как SystemBC вписывается в экосистему программы-вымогателя Gentlemen, и не смогли определить, использовалось ли вредоносное ПО несколькими аффилированными лицами.
Цепочка заражения и схема шифрования
Хотя Check Point не смогла определить начальный вектор доступа при наблюдаемых атаках, исследователи сообщают, что злоумышленник Gentlemen действовал с контроллера домена с привилегиями администратора домена.
Оттуда злоумышленник проверял, какие учетные данные работают, и проводил разведку перед развертыванием полезных нагрузок Cobalt Strike на удаленных системах через RPC.
Боковое перемещение поддерживалось сбором учетных данных с использованием Mimikatz и удаленным выполнением. Злоумышленники размещали программу-вымогатель с внутреннего сервера и использовали встроенное распространение и групповые политики (GPO) для запуска почти одновременного выполнения шифровальщика в системах, присоединенных к домену.
По данным исследователей, вредоносное ПО использует гибридную схему на основе X25519 (Diffie–Hellman) и XChaCha20, с случайно сгенерированной эфемерной парой ключей для каждого файла.
Файлы размером менее 1 МБ шифруются полностью, тогда как в более крупных файлах шифровались только фрагменты данных размером около 9%, 3% или 1%.
Перед шифрованием программа-вымогатель Gentlemen завершает работу баз данных, резервного копирования и процессов виртуализации, а также удаляет теневые копии и журналы. Вариант для ESXi также отключает виртуальные машины, чтобы обеспечить возможность шифрования дисков.
Программа-вымогатель Gentlemen нечасто попадает в заголовки новостей, но Check Point предупреждает, что RaaS быстро растет, рекламируя набор новых аффилированных лиц через подпольные форумы.
Исследователи полагают, что использование SystemBC с Cobalt Strike и ботнетом из 1570 хостов может указывать на то, что банда Gentlemen теперь действует на более высоком уровне, «активно интегрируясь в более широкую цепочку инструментов зрелых постэксплуатационных фреймворков и прокси-инфраструктуры».
Помимо индикаторов компрометации (IoC), собранных в ходе расследованного инцидента, Check Point также предоставляет сигнатурное обнаружение в виде правила YARA, чтобы помочь защитникам обезопасить себя от подобных атак.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
