Il gruppo ransomware-as-a-service (RaaS) dei Gentlemen hanno cercato di distribuire un noto malware proxy chiamato SystemBC.
Secondo una nuova ricerca pubblicata da Check Point, il server di comando e controllo (C2) collegato a SystemBC ha portato alla scoperta di un botnet con oltre 1.570 vittime. SystemBC stabilisce tunnel di rete SOCKS5 nell’ambiente della vittima, connettendosi al suo server C2 mediante un protocollo RC4 crittografato su misura.
Da quando è emerso a luglio 2025, i Gentlemen si sono rapidamente affermati come uno dei gruppi di ransomware più prolifici, rivendicando oltre 320 vittime sul loro sito di fuga dati. Operando secondo un modello di estorsione doppia classico, il gruppo mira a sistemi Windows, Linux, NAS e BSD, utilizzando un locker basato su Go e strumenti malevoli personalizzati.
Non è chiaro come il gruppo ottenga l’accesso iniziale, ma ci sono prove che suggeriscono l’abuso di servizi esposti a Internet per stabilire una prima presa, seguito da scoperte, movimenti laterali, e distribuzione del ransomware. Un aspetto significativo degli attacchi è l’abuso degli Oggetti della Criteri di Gruppo (GPO) per facilitare compromissioni a livello di dominio.
Intelligenza e operatività dei Gentlemen
I Gentlemen dimostrano una consapevolezza acuta degli ambienti target e una predisposizione a modificare gli strumenti durante le operazioni. Recenti scoperte mostrano un affiliato dei Gentlemen che ha distribuito SystemBC su un host compromesso, con il server C2 che controlla centinaia di vittime in tutto il mondo.
Visita la nostra sezione WatchList dedicata per rimanere aggiornato
Live Alert
