Os achados recentes da Check Point Research colocam sobre a mesa uma realidade inquietante: um botnet baseado no proxy SystemBC com mais de 1.570 máquinas ativas foi identificado no âmbito da pesquisa de um ataque da operação de ransomware conhecida como Gentlemen. O notável não é apenas o tamanho da botnet, mas o perfil das vítimas: organizações e empresas, não consumidores isolados, o que sugere uma campanha dirigida e com recursos atrás.
Gentlemen apareceu em meados de 2025 como um serviço de ransomware (RaaS) que oferece ferramentas poderosas para diferentes ambientes. Seu “locker” escrito em Go pode cifrar Windows, Linux, NAS e BSD; além disso, dispõe de uma variante em C pensada para hipervisores ESXi. Não é uma ameaça teórica: o grupo tem sido envolvido em incidentes de alto impacto, como a intrusão em um dos maiores fornecedores de energia da Roménia em dezembro passado, e recentemente seu nome apareceu na lista de vítimas publicada após uma violação divulgada por uma violação. The Adaptavist Group.
A pesquisa de Check Point revela que, em pelo menos um caso, um afiliado de Gentlemen tentou usar SystemBC para entregar cargas maliciosas de maneira encoberta. SystemBC, uma ferramenta de proxy SOCKS5 que existe desde pelo menos 2019, tornou-se um componente recorrente em fluxos de intrusão operados por humanos porque permite encaminhar tráfego e entregar payloads sem traçar a conexão direta até o atacante. Apesar de ações de forças da ordem em 2024, a infraestrutura continua ativa e, segundo relatórios prévios de inteligência, tem sido responsável por grandes volumes de servidores comprometidos usados como relés.
Check Point pôde observar telemetria desde o servidor de comando e controle do SystemBC que apontava para mais de 1.570 vítimas distribuídas globalmente; a maioria, segundo a análise, localizam-se nos Estados Unidos, Reino Unido, Alemanha, Austrália e Roménia. Os pesquisadores não puderam determinar com certeza como encaixa SystemBC dentro do ecossistema de Gentlemen – se foi utilizado por um único afiliado ou por vários –, mas os indicadores apontam para uma integração mais profunda em cadeias de exploração que combinam ferramentas maduras de pós-explotação e redes proxy.
O padrão de ataque descrito no relatório é típico de campanhas sofisticadas: acesso a um Domain Controller com privilégios de administrador de domínio, reconhecimento interno, e implantação de cargas como Cobalt Strike através da RPC. A mobilidade lateral é mantida com o roubo de credenciais através de ferramentas como Mimikatz e execução remota. Para a implantação final da encriptação, os atacantes costumam preparar o malware em um servidor interno e aproveitar mecanismos nativos como as Políticas de Grupo para executar o ransomware de maneira quase simultânea em equipamentos unidos ao domínio. Para detalhes técnicos sobre as ferramentas mencionadas, vale a pena rever as fichas do MITRE ATT&CK sobre Cobalt Strike e Mimikatz.
No criptográfico, Gentlemen adota uma abordagem híbrida: combina X25519 (uma variante de Diffie-Hellman) com XChaCha20 para criptografia de arquivos, gerando um par de chaves efêmero por cada arquivo. Os ficheiros com menos de 1 MB são normalmente criptografados por completo; os maiores recebem uma cifra parcial por blocos (porcentagens pequenas como 9%, 3% ou 1%), uma técnica que reduz tempo e custo operacional, mas dificulta a recuperação. Antes de criptografar, o malware termina processos de bases de dados, soluções de backup e máquinas virtuais, e elimina cópias sombra e registros, enquanto a variante para ESXi apaga máquinas virtuais para garantir o acesso exclusivo ao armazenamento.
Que Gentlemen reclute afiliados e promocione seu serviço em fóruns clandestinos não é novidade no panorama do cibercrime, mas a combinação de um RaaS relativamente jovem com infra-estruturas maduras como SystemBC e marcos de pós-explotação denota um salto de nível em sua capacidade operacional. Os operadores passaram de testes pontuais a montar cadeias de ferramentas que refletem modelos de adversários experientes, o que aumenta o risco de ataques bem-sucedidos e com impacto empresarial severo.
Para defensores e equipamentos de resposta, o relatório inclui indicadores de compromisso e uma regra YARA fornecida pela Check Point para detecção signature-based, mas a proteção exige mais do que assinaturas. É imprescindível reforçar controles básicos: segmentação de redes, proteção e monitoramento de Domain Controllers, limitação do uso de contas com elevados privilégios, controles sólidos de autenticação multifator e cópias de segurança verificadas e isoladas. Para orientação prática e medidas de mitigação contra o ransomware, as diretrizes publicadas por CISA São um bom ponto de partida.
Este caso sublinha uma lição constante: as ameaças evoluem para infra-estruturas híbridas e operadas por humanos, o que exige às organizações não só detectarem e bloquear assinaturas conhecidas, mas instrumentar visibilidade contínua, detecção de comportamentos anormais e planos de resposta testados. As defesas que confiam apenas em perímetros estáticos e assinaturas acabarão sendo insuficientes frente a cadeias de ataque compostas e bem orquestradas.
Para quem quiser aprofundar os detalhes técnicos e as IoC coletadas, você pode consultar o relatório completo da Check Point Research na sua página oficial: DFIR report – The Gentlemen. Manter-se informado e aplicar controlos básicos de ciber-higiene continua a ser, hoje mais do que nunca, a melhor forma de reduzir o risco.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...