Se ha observado que los actores de amenazas asociados con las operaciones de ransomware como servicio (RaaS) de The Gentlemen intentan implementar un malware proxy conocido llamado SystemBC.
Un servidor de comando y control (C2 o C&C) vinculado a SystemBC descubrió una botnet con más de 1.570 víctimas, según una nueva investigación publicada por Check Point.
«SystemBC establece un túnel de red SOCKS5 dentro del entorno de la víctima y se conecta al servidor C&C utilizando un protocolo de cifrado RC4 personalizado», dijo Check Point. La carga útil también puede escribirse en el disco o inyectarse directamente en la memoria para descargar y ejecutar malware adicional.
Desde su aparición en julio de 2025, The Gentlemen se ha establecido rápidamente como uno de los grupos de ransomware más prolíficos, con más de 320 víctimas en sitios de violación de datos. Operando bajo el clásico modelo de extorsión dual, el grupo es sofisticado y versátil, demostrando la capacidad de apuntar a sistemas Windows, Linux, NAS y BSD utilizando casilleros basados en Go, empleando controladores legítimos y herramientas maliciosas personalizadas para subvertir las defensas.
Si bien no está claro exactamente cómo los actores de amenazas obtienen acceso inicial, la evidencia sugiere que los servicios conectados a Internet o las credenciales comprometidas se explotan para establecer un punto de apoyo inicial, seguido del descubrimiento, el movimiento lateral, la puesta en escena de la carga útil (es decir, Cobalt Strike, SystemBC y programas de cifrado), la evasión de defensa y la implementación de ransomware. Un aspecto notable de este ataque es la explotación de objetos de política de grupo (GPO) para facilitar el compromiso de todo el dominio.
En un análisis de septiembre de 2025 sobre el oficio del grupo, el proveedor de seguridad Trend Micro dijo: «Al adaptar sus tácticas a proveedores de seguridad específicos, The Gentleman demuestra una gran conciencia del entorno del objetivo y la voluntad de realizar un reconocimiento exhaustivo y modificar herramientas durante el curso de sus operaciones».
Los últimos hallazgos de Check Point muestran que un afiliado de The Gentlemen RaaS implementó SystemBC en hosts comprometidos, cuyos servidores C2 estaban vinculados a malware proxy, y extorsionó a cientos de víctimas en todo el mundo, incluidos EE. UU., Reino Unido, Alemania, Australia y Rumania.
SystemBC se ha utilizado en operaciones de ransomware que se remontan a 2020, pero la naturaleza exacta de la relación de este malware con el esquema de delito electrónico The Gentlemen aún no está clara. Por ejemplo, ¿es parte de un plan de ataque o lo implementa un afiliado específico para la filtración de datos o el acceso remoto?
«Durante el movimiento lateral, el ransomware intenta cegar a Windows Defender en cada host remoto accesible deshabilitando el monitoreo en tiempo real, agregando amplias exclusiones para unidades, recursos compartidos y procesos propietarios, apagando el firewall, reactivando SMB1 y ejecutando un script de PowerShell que afloja los controles de acceso anónimo de LSA antes de implementar y ejecutar el binario del ransomware en ese host», dijo Check Point.
Las variantes de ESXi incluyen menos funciones que las variantes de Windows, pero tienen la capacidad de apagar máquinas virtuales para aumentar la efectividad del ataque, agregar persistencia a través de crontab y evitar la recuperación antes de que se implementen los archivos binarios del ransomware.
«La mayoría de los grupos de ransomware comienzan y desaparecen con fuerza. Gentleman es diferente», dijo Eli Smadja, gerente de grupo de Check Point Research, en un comunicado compartido con Hacker News.
«Resolvieron el problema del reclutamiento de afiliados ofreciendo mejores condiciones que nadie en el ecosistema criminal. Cuando penetramos en uno de los servidores de su operador, descubrimos más de 1.570 redes corporativas comprometidas que aún no habían sido noticia. La verdadera escala de esta operación es mucho mayor de lo que se conoce públicamente y continúa creciendo».
Este descubrimiento arroja luz sobre el funcionamiento interno de otra familia de ransomware relativamente nueva llamada Kyber, que Rapid7 surgió en septiembre de 2025 y apuntó a infraestructuras Windows y VMware ESXi utilizando equipos criptográficos desarrollados en Rust y C++, respectivamente.
«Las variantes de ESXi están diseñadas específicamente para entornos VMware, con características como cifrado del almacén de datos, terminación opcional de máquinas virtuales y manipulación de la interfaz de administración», dijo la firma de ciberseguridad. «Una variante de Windows escrita en Rust contiene características autoproclamadas ‘experimentales’ dirigidas a Hyper-V».
«El ransomware Kyber no es una obra maestra de código complejo, pero es muy eficaz a la hora de causar destrucción. Refleja un cambio hacia la especialización en lugar de la sofisticación».
Según los datos compilados por ZeroFox, se confirmaron al menos 2059 incidentes de ransomware y extorsión digital (I+DE) en el primer trimestre de 2026, y más de 747 incidentes ocurrieron en marzo. Los grupos más activos durante este período fueron Qilin (338), Akira (197), The Gentlemen (192), INC Ransom y Cl0p.
«En particular, las víctimas norteamericanas representaron aproximadamente el 20% de los ataques de The Gentlemen en el tercer trimestre de 2025, el 2% en el cuarto trimestre de 2025 y el 13% en el primer trimestre de 2026», dijo ZeroFox. «Esto contrasta marcadamente con las tendencias regionales típicas de ataques de otros grupos de I+D, donde al menos el 50% de las víctimas se encuentran en América del Norte».
Cambios en la velocidad de los ataques de ransomware
En su Informe sobre la evolución del ransomware 2025, la empresa de ciberseguridad Halcyon reveló que los ataques de ransomware dirigidos a la industria automotriz se duplicaron con creces en 2025, representando el 44% de todos los incidentes cibernéticos en toda la industria; sin embargo, la amenaza continúa madurando hasta convertirse en una organización criminal más disciplinada e impulsada por los negocios.
Otras tendencias importantes incluyen intentos de utilizar herramientas de detección y respuesta de endpoints (EDR) para comprometer la seguridad, el uso de técnicas de ataque BYOVD (traiga su controlador de vulnerabilidad) para escalar privilegios y desactivar soluciones de seguridad, ofuscación de campañas de ransomware criminales y de estados nacionales, y un mayor ataque a organizaciones pequeñas y medianas y entornos de tecnología operativa (OT).
«En lugar de una sola marca, el ransomware continuó creciendo como un ecosistema industrializado duradero construido sobre la especialización, la infraestructura compartida y la rápida reproducción», dijo la compañía. «La presión de las fuerzas del orden y las incautaciones de infraestructura han interrumpido operaciones clave, han facilitado la fragmentación, el cambio de marca y han aumentado la competencia en un panorama más fluido».
El ransomware es cada vez más rápido y reduce los tiempos de permanencia de días a horas. Se descubrió que aproximadamente el 69% de los intentos de ataque observados se realizaron intencionalmente durante la noche o los fines de semana para superar a los defensores.
Por ejemplo, los ataques que involucraron al ransomware Akira mostraron una velocidad inusual, escalando rápidamente desde el punto de apoyo inicial hasta el cifrado completo, a veces sin ser detectado, en una hora, destacando un motor de ataque bien engrasado diseñado para maximizar el impacto.
«La combinación de Akira de capacidades de compromiso rápido, ritmo operativo disciplinado e inversión en infraestructura de descifrado confiable nos diferencia de muchos operadores de ransomware», dijo Halcyon. «Los defensores deberían tratar a Akira no como una amenaza oportunista, sino como un adversario capaz y tenaz que explotará cualquier debilidad para lograr sus objetivos».
Source link
