Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
The Gentlemen in Ascesa: botnet SystemBC con 1.570 vittime, reti aziendali a rischio doppia estorsione
L’operazione ransomware-as-a-service chiamata The Gentlemen sta mostrando una crescita rapida e una capacità operativa sempre più industrializzata. Un elemento chiave emerso nelle analisi recenti è l’uso del malware proxy SystemBC, collegato a un server di comando e controllo che ha permesso di individuare una botnet con oltre 1570 vittime.
Questo dato suggerisce che il numero reale di reti aziendali compromesse potrebbe essere molto più alto di quanto riportato pubblicamente, con impatti potenziali su più settori e aree geografiche.
SystemBC viene descritto come un malware in grado di creare tunnel di rete SOCKS5 all’interno dell’ambiente della vittima, comunicando con l’infrastruttura C2 tramite un protocollo personalizzato cifrato con RC4. In pratica consente agli attaccanti di ottenere accesso remoto e instradare traffico in modo discreto, facilitando movimento laterale e gestione dell’operazione. Inoltre SystemBC può scaricare ed eseguire ulteriori payload, scrivendoli su disco oppure iniettandoli direttamente in memoria, una tecnica utile per eludere controlli di sicurezza e ridurre le tracce.
The Gentlemen, attivo dal luglio 2025, utilizza un modello di doppia estorsione che combina cifratura e minaccia di pubblicazione dei dati. La campagna risulta flessibile grazie a strumenti e varianti capaci di colpire Windows, Linux, NAS e anche sistemi BSD, con un locker basato su Go. Tra le tecniche osservate rientra anche l’uso di driver legittimi e strumenti malevoli personalizzati per aggirare le difese, oltre a una forte attenzione alla ricognizione e all’adattamento agli ambienti specifici delle vittime.
Le modalità di accesso iniziale non sono sempre chiare, ma gli indicatori puntano su servizi esposti su internet e credenziali compromesse. Una volta ottenuto il foothold, gli attori procedono con discovery, movimento laterale, staging dei payload come Cobalt Strike, SystemBC e cifratori, quindi evasione delle difese e distribuzione del ransomware. Un aspetto critico è l’abuso dei Group Policy Objects per estendere il controllo a livello di dominio, accelerando il compromesso su larga scala.
Sono stati osservati tentativi di disabilitare Windows Defender tramite script PowerShell che spengono il monitoraggio in tempo reale, aggiungono esclusioni estese, modificano impostazioni di firewall e SMB e indeboliscono controlli LSA. In ambienti virtualizzati, una variante per ESXi tende a spegnere macchine virtuali, instaurare persistenza via crontab e ostacolare il recupero prima della cifratura.