Die jüngsten Erkenntnisse der Check Point Research stellten eine störende Realität auf den Tisch: Ein Netz auf Basis der SystemBC-Proxy mit mehr als 1,570 aktiven Maschinen wurde als Teil der Untersuchung eines Angriffs der Ransomware-Operation als Gentlemen identifiziert. Die bemerkenswerte Sache ist nicht nur die Größe des Botnet, sondern das Profil der Opfer: Organisationen und Unternehmen, nicht isolierte Verbraucher., die eine Kampagne vorschlägt, die hinter gerichtet und zurückgegriffen wird.
Gentlemen erschien Mitte-2025 als Ransomware (RaaS) Service, der leistungsstarke Werkzeuge für verschiedene Umgebungen bietet. Sein in Go geschriebener "locker" kann Windows, Linux, NAS und BSD verschlüsseln; es hat auch eine C-Variante für ESXi Hypervisors entwickelt. Es handelt sich nicht um eine theoretische Bedrohung: Die Gruppe hat sich im vergangenen Dezember in einen der größten Energielieferanten Rumäniens eingemischt, und vor kurzem erschien ihr Name auf der Liste der Opfer, die nach einer Verletzung veröffentlicht wurden. The Adaptavist Group.
Die Untersuchung von Check Point zeigt, dass in mindestens einem Fall ein Gentlemen-Affiliate versuchte, SystemBC zu verwenden, um schädliche Gebühren verdeckt zu übergeben. SystemBC, ein SOCKS5 Proxy-Tool, das seit mindestens 2019 existiert, ist zu einem wiederkehrenden Bauteil in humanbetrieben Intrusionsströmen geworden weil es erlaubt, den Verkehr zu führen und Payloads zu liefern, ohne die direkte Verbindung zum Angreifer zu ziehen. Trotz der Strafverfolgungsmaßnahmen im Jahr 2024 ist die Infrastruktur weiterhin aktiv, und nach bisherigen Nachrichtenberichten ist sie für große Mengen von engagierten Servern verantwortlich, die als Relais verwendet werden.
Der Kontrollpunkt war in der Lage, die Telemetrie vom SystemBC-Befehls- und Kontrollserver zu beobachten, der mehr als 1,570 weltweit verteilte Opfer anvisierte; die meisten nach der Analyse befinden sich in den Vereinigten Staaten, dem Vereinigten Königreich, Deutschland, Australien und Rumänien. Die Forscher konnten mit Sicherheit feststellen, wie SystemBC in das Gentlemen-Ökosystem passt - sei es von einem einzigen Affiliate oder mehreren -, aber die Indikatoren weisen auf eine tiefere Integration in operative Ketten hin, die reife Post-Exploitations-Tools und Proxy-Netzwerke kombinieren.
Das im Bericht beschriebene Angriffsmuster ist typisch für anspruchsvolle Kampagnen: Zugriff auf einen Domain Controller mit Domain Manager-Privilegien, interne Erkennung und Bereitstellung von Lasten wie Cobalt Strike durch RPC. Die Lateralmobilität wird durch Werkzeuge wie Mimikatz und Fernausführung durch den Diebstahl der Anmeldeinformationen erhalten. Für die endgültige Bereitstellung der Chiffre, Angreifer in der Regel bereiten Malware auf einem internen Server und nutzen native Mechanismen wie Group Policies, um die Ransomware fast gleichzeitig auf Computern an der Domain angeschlossen. Für technische Details zu den oben genannten Werkzeugen lohnt es sich, die MITRE ATT & CK-Chips auf Cobalt Strike und Mimikatz.
Im kryptographischen, Gentlemen nimmt einen hybriden Ansatz an: es kombiniert X25519 (eine Variante von Diffie-Hellman) mit XChaCha20 für Dateiverschlüsselung und erzeugt ein paar ephemerale Schlüssel für jede Datei. Dateien unter 1 MB werden in der Regel vollständig verschlüsselt; die größeren erhalten eine Teilblockverschlüsselung (kleine Prozente als 9%, 3% oder 1%), eine Technik, die Zeit und Betriebskosten reduziert, aber die Erholung erschwert. Vor der Verschlüsselung beendet die Malware Datenbankprozesse, Backup-Lösungen und virtuelle Maschinen und entfernt Schattenkopien und Aufzeichnungen, während die Variante für ESXi virtuelle Maschinen ausschaltet, um exklusiven Zugriff auf die Speicherung zu gewährleisten.
Dass Gentlemen Affiliate rekrutieren und ihren Service in geheimen Foren fördern, ist keine Neuheit im Bild von Cyberkriminalität, aber die Kombination eines relativ jungen RaaS mit reifen Infrastrukturen wie SystemBC und Post-Exploitation Frameworks bedeutet einen Levelsprung in seiner operativen Kapazität. Die Betreiber haben sich von Punktversuchen bis zur Montage von Kettenwerkzeugen bewegt, die Modelle von erfahrenen Gegnern reflektieren, die das Risiko erfolgreicher Angriffe mit starker Unternehmenswirkung erhöht.
Für Verteidiger und Antwortteams umfasst der Bericht Verpflichtungsindikatoren und eine YARA-Regel, die von Check Point für die Signatur-basierte Erkennung bereitgestellt wird, aber der Schutz erfordert mehr als Unterschriften. Wesentlich ist die Stärkung der Basiskontrollen: Netzsegmentierung, Schutz und Überwachung von Domain-Controllern, Einschränkung der Verwendung von Konten mit hohen Privilegien, solide Multi-Faktor-Authentifizierungskontrollen und verifizierte und isolierte Sicherungen. Für praktische Anleitung und Ransomware Minderungsmaßnahmen, die von CISA Sie sind ein guter Ausgangspunkt.
Dieser Fall zeigt eine ständige Lektion: Bedrohungen entwickeln sich in Richtung hybrider und human betriebener Infrastruktur, die Organisationen nicht nur zur Erkennung und Blockierung bekannter Signaturen, sondern zur kontinuierlichen Sichtbarkeit, Erkennung von anomaler Verhaltensweisen und bewährten Reaktionsplänen benötigen. Verteidigungen, die sich nur auf statische Perimeter und Unterschriften verlassen, werden am Ende nicht ausreichen, vor gut-orchsierten und zusammengesetzten Angriffsketten.
Für diejenigen, die die technischen Details vertiefen wollen und die IoC gesammelt haben, ist der vollständige Bericht von Check Point Research auf ihrer offiziellen Seite verfügbar: DFIR-Bericht - Die Herren. Die Aktualität und Umsetzung grundlegender Cyberhygiene-Kontrollen bleibt heute mehr denn je der beste Weg, um das Risiko zu reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...