Intrusão combinou controle de domínio, Cobalt Strike, tentativa de túnel SOCKS5 com SystemBC, desativação de defesas e distribuição do criptografador por Política de Grupo.
| Componente | Operação The Gentlemen RaaS, variante SystemBC, Cobalt Strike, Active Directory, Controlador de Domínio, GPO, compartilhamentos administrativos ADMIN$ e criptografador em Go. |
| Vetor | Ator com privilégios equivalentes a Domain Admin usou autenticações de rede, execução remota via RPC, cópia para compartilhamentos administrativos, --spread com credenciais de domínio e distribuição via Política de Grupo. |
| Impacto | Criptografia quase simultânea de sistemas ingressados no domínio, coleta de credenciais, persistência por tarefas agendadas, chaves Run, RDP e AnyDesk, além de tentativa de proxy SOCKS5 para pivoteamento interno. |
| Prioridade | Conter contas privilegiadas, isolar Controladores de Domínio afetados, revisar GPOs recém-criadas ou alteradas, bloquear IoCs observados e caçar execução de r.exe, g.exe, o.exe, socks.exe, regsvr32.exe, rundll32.exe e payloads lançados de ADMIN$. |
| IoCs | Comunicação observada com 45.86.230[.]112 associada ao SystemBC e 91.107.247[.]163 associada a Cobalt Strike nas portas 443 e 80. |
| Artefatos | Uso de cmd.exe /C systeminfo, cmd.exe /C whoami, cmd.exe /C dir c:\\users, tasklist | findstr /i socks, argumento --password, argumento --spread e senha de RDP Camry@12345 observada na intrusão. |
A intrusão analisada envolve um afiliado da operação The Gentlemen RaaS, um ecossistema de ransomware que surgiu em meados de 2025 e passou a recrutar operadores técnicos em fóruns clandestinos. O programa oferece criptografadores para Windows, Linux, NAS e BSD escritos em Go, além de um criptografador específico para ESXi escrito em C. A operação também disponibiliza, para parceiros verificados, ferramentas de neutralização de EDR e infraestrutura própria de pivoteamento com componentes de cliente e servidor. O modelo operacional segue a lógica de afiliados: o operador que obtém acesso inicial conduz reconhecimento, expansão, coleta de credenciais, implantação de ferramentas e, no estágio final, aciona a carga de ransomware com parâmetros definidos para a vítima.
O caso mostra uma cadeia de intrusão orientada por controle de domínio. O primeiro ponto confirmado não foi o acesso inicial, mas a presença do atacante em um Controlador de Domínio com privilégios de nível Domain Admin. A partir desse ponto, houve validação sistemática de credenciais e alcance de hosts, com uma sequência de logons de rede malsucedidos seguida de autenticações bem-sucedidas originadas do Controlador de Domínio. Esse padrão indica preparação operacional antes da expansão: o agente testou quais credenciais eram válidas, quais máquinas aceitavam autenticação remota e quais alvos poderiam receber execução de código sem bloqueios imediatos.
A atividade também incluiu tentativa de uso do SystemBC, malware de proxy usado para criar túneis SOCKS5 em redes comprometidas. A variante observada foi executada como socks.exe e tentou se comunicar com 45.86.230[.]112. O bloqueio por proteção de endpoint não encerrou a operação: logo depois, outro payload executado remotamente gerou c:\\windows\\system32\\rundll32.exe, que estabeleceu comunicação externa com infraestrutura de Cobalt Strike em 91.107.247[.]163 pelas portas 443 e 80. A alternância entre canais de comando e controle indica adaptação durante a operação, não execução rígida de um único playbook.
O encerramento da cadeia ocorreu com implantação do criptografador The Gentlemen por Política de Grupo. A GPO foi configurada para executar o binário em sistemas ingressados no domínio durante a atualização de política, produzindo uma janela de criptografia rápida e quase simultânea. Essa escolha é particularmente crítica porque transforma o Active Directory em mecanismo de distribuição do ransomware: a mesma infraestrutura usada para administrar estáções e servidores passa a disseminar a carga maliciosa em escala.
Com privilégios elevados no domínio, o atacante copiou payloads para compartilhamentos administrativos no formato \\[HOST]\\ADMIN$\\.exe e executou os binários por RPC. O primeiro desdobramento confirmado ocorreu em um endpoint interno e foi seguido por atividade semelhante em outros hosts. Os comandos iniciais incluíram cmd.exe /C systeminfo, cmd.exe /C whoami e cmd.exe /C dir c:\\users, que permitem confirmar versão do sistema, contexto de usuário e presença de perfis locais. Também houve leitura de documentação interna por cmd.exe /C type a partir de um volume remoto, o que demonstra uso de conhecimento específico do ambiente para orientar movimentos posteriores.
A expansão lateral apresentou artefatos de execução repetidos, inclusive regsvr32.exe em múltiplos hosts, compatíveis com atividade disparada de forma centralizada. Na mesma fase, o SystemBC foi preparado para criar um canal SOCKS5 de pivoteamento e comunicação encoberta. O SystemBC usa protocolo próprio cifrado com RC4 para comunicação com comando e controle e pode baixar e executar cargas adicionais, gravando arquivos em disco ou injetando conteúdo diretamente na memória. No incidente, a tentativa com socks.exe foi bloqueada, mas a presença do componente é relevante porque esse malware costuma aparecer em intrusões operadas por humanos, com objetivo de manter acesso, trafegar ferramentas internas e facilitar exfiltração.
Após o bloqueio do SystemBC, a operação manteve conectividade por Cobalt Strike. Um payload executado remotamente iniciou rundll32.exe, que se conectou a 91.107.247[.]163 usando 443 e depois 80. Esse comportamento deve ser tratado como canal de comando e controle funcional, principalmente quando combinado com execução remota, reconhecimento local e alterações defensivas. O uso de portas associadas a tráfego web reduz atrito em ambientes com regras permissivas de saída e exige inspeção por reputação, análise de JA3/JA4 quando disponível, correlação de processos pais e validação de destino externo por host.
A transição para ransomware ocorreu por meio de uma execução do PowerShell em contexto de tarefa agendada. O comando baixou grand.exe de um servidor interno de estágio no Controlador de Domínio e o executou como c:\\programdata\\r.exe. Os argumentos --password VvO8EtUh e --spread [REDACTED_DOMAIN]\\[REDACTED_USER]:[REDACTED_PASSWORD] mostram execução controlada por senha e ativação explícita de propagação com credenciais coletadas no ambiente. O criptografador exige --password para iniciar a criptografia; a senha em texto claro é embutida no binário e validada contra o argumento informado, o que reduz disparos acidentais e permite ao afiliado controlar o momento da detonação.
A funcionalidade --spread fica desativada por padrão e só é acionada quando o operador fornece credenciais no formato domínio\\usuário:senha. Com isso, o ransomware enumera computadores do Active Directory, testa alcance por ping e executa uma sequência de movimentação lateral em hosts responsivos. As credenciais são reutilizadas em PsExec, WMI, criação remota de tarefas agendadas e criação de serviços. Antes da execução remota, o malware tenta enfraquecer defesas por PowerShell, desativando monitoramento em tempo real do Microsoft Defender, adicionando exclusões amplas para C:\\, para o compartilhamento de estágio e para o próprio processo, desligando o firewall, reativando SMB1 e relaxando controles de acesso anônimo do LSA. Esse conjunto aumenta a chance de propagação e reduz visibilidade local durante a janela de ataque.
O parâmetro --gpo é o mecanismo de maior alcance observado no binário. Ele pressupõe comprometimento de um Controlador de Domínio e usa a infraestrutura de Política de Grupo para executar o ransomware em computadores do domínio. Em vez de depender apenas de execução host a host, o atacante passa a acionar a carga pela rotina normal de atualização de política dos sistemas Windows. Para defesa, isso muda a prioridade da resposta: não basta remover o binário de endpoints isolados; é necessário identificar, desabilitar e preservar para análise as GPOs criadas ou alteradas, validar scripts e caminhos referenciados, revisar permissões em SYSVOL e interromper replicação maliciosa quando houver risco de disseminação.
A superfície principal é qualquer ambiente Windows com Active Directory em que uma conta privilegiada tenha sido comprometida ou onde o atacante tenha alcançado um Controlador de Domínio. Sistemas ingressados no domínio ficam expostos à execução por GPO, tarefas agendadas remotas, serviços remotos, WMI, PsExec e cópia por compartilhamentos administrativos. Endpoints com ADMIN$ acessível, RPC permitido, firewall desativável por política ou controles de Defender sem proteção contra adulteração ficam mais vulneráveis à propagação rápida. Servidores de arquivos, estáções administrativas, sistemas com sessões privilegiadas ativas e máquinas com credenciais armazenadas no Credential Manager também entram no caminho de risco.
A operação The Gentlemen amplia o impacto por oferecer criptografadores para múltiplas plataformas, incluindo Windows, Linux, NAS, BSD e ESXi. No incidente detalhado, a cadeia observada é centrada em Windows e Active Directory, mas a existência de lockers para outros sistemas altera o escopo de preparação defensiva. Ambientes híbridos com virtualização, appliances de armazenamento e servidores Linux integrados à operação devem validar se credenciais administrativas reutilizadas, compartilhamentos de backup, consoles de hypervisor e repositórios de credenciais poderiam permitir uma segunda fase de criptografia fora do domínio Windows.
A coleta de credenciais ocorreu durante a movimentação lateral. Saída de Mimikatz recuperada da memória em um endpoint comprometido continha material de contas de domínio e credenciais armazenadas. Isso confirma que a cadeia não dependia apenas de uma credencial inicial: o atacante buscou ampliar acesso, validar permissões e alimentar mecanismos de propagação. A criação ou ativação de RDP com senha definida, incluindo Camry@12345, e a presença de AnyDesk adicionam canais de acesso persistente que podem sobreviver à remoção superficial do ransomware se contas, serviços, tarefas e regras de firewall não forem revisados.
- Controladores de Domínio com sinais de execução remota, alteração de GPO, estágio de binários e comandos PowerShell iniciados por tarefa agendada.
- Endpoints que receberam arquivos em
c:\\programdata\\r.exe,c:\\programdata\\g.exe,c:\\programdata\\o.exeou executáveis copiados porADMIN$. - Hosts com execução de
socks.exe,rundll32.exe,regsvr32.exe, PsExec, WMI, tarefas agendadas remotas ou serviços recém-criados. - Sistemas com Defender desativado, exclusões amplas para
C:\\, firewall desligado, SMB1 reativado ou LSA com acesso anônimo relaxado. - Contas privilegiadas usadas em autenticações de rede a partir do Controlador de Domínio, principalmente após falhas repetidas seguidas de sucesso.
A investigação deve começar pelo Controlador de Domínio porque ele foi o ponto confirmado de comando operacional. Eventos de logon, criação de processos, acesso a compartilhamentos administrativos e alterações de GPO precisam ser correlacionados por tempo. Um padrão relevante é a combinação de falhas de autenticação de rede seguidas por sucessos a partir do mesmo host privilegiado, especialmente quando ocorre antes de cópias para ADMIN$, execução por RPC ou criação remota de serviços. Essa sequência indica validação de credenciais e seleção de alvos antes da implantação de payloads.
Em endpoints, a caça deve correlacionar processo pai, linha de comando e destino de rede. cmd.exe executando systeminfo, whoami, dir c:\\users e type contra caminhos administrativos pode ser legítimo em administração pontual, mas torna-se suspeito quando parte de uma sequência com regsvr32.exe, rundll32.exe, arquivos em ProgramData, PowerShell alterando Defender e conexões externas para IPs raros. O comando tasklist | findstr /i socks após execução de socks.exe indica validação manual da presença do processo SystemBC e deve ser tratado como sinal forte de operador interativo.
No nível de rede, conexões para 45.86.230[.]112 e 91.107.247[.]163 devem ser pesquisadas em proxy, firewall, EDR, NetFlow e DNS passivo quando disponível. A primeira infraestrutura aparece ligada à tentativa de SystemBC; a segunda aparece associada a Cobalt Strike com comunicação em 443 e 80. A ausência de conexão com o primeiro IP não elimina comprometimento, pois o bloqueio do SystemBC foi seguido por outro canal bem-sucedido. A caça precisa procurar tanto falhas bloqueadas quanto conexões permitidas, incluindo processos responsáveis e hashes de payload quando a telemetria local os preservou.
A telemetria de Active Directory deve incluir criação e modificação de GPOs, alterações em scripts de inicialização, caminhos de execução em SYSVOL, mudanças em permissões de objetos de política e criação de tarefas que iniciem PowerShell. Também é necessário revisar eventos de administração remota: WMI, Service Control Manager, tarefas agendadas, PsExec e autenticações NTLM/Kerberos anômalas. Em paralelo, a equipe deve buscar criação de chaves Run em HKLM e HKCU, tarefas agendadas com nomes desconhecidos e comandos que tentem executar ransomware a partir de caminhos locais ou compartilhamentos remotos.
- Processos
socks.exe,rundll32.exe,regsvr32.exe,powershell.exe,cmd.exe, PsExec e WMI executados em sequência curta a partir de contas privilegiadas. - Conexões de saída para
45.86.230[.]112,91.107.247[.]163, portas443e80, especialmente quando o processo de origem não é navegador, serviço web ou agente corporativo conhecido. - Arquivos
c:\\programdata\\r.exe,c:\\programdata\\g.exe,c:\\programdata\\o.exe,grand.exeem servidor interno e executáveis copiados para\\HOST\\ADMIN$. - Uso de
--password,--spreade--gpoem linhas de comando, logs de EDR, Prefetch, Amcache, Shimcache, Sysmon ou histórico de PowerShell. - Eventos de desativação do Defender, criação de exclusões para
C:\\, desligamento do firewall, reativação de SMB1 e alterações em controles LSA.
A resposta deve priorizar controle de identidade e domínio antes da limpeza de endpoints. Contas privilegiadas usadas durante a janela de ataque precisam ser desabilitadas ou ter credenciais rotacionadas com sequência coordenada, incluindo contas de serviço, administradores de domínio, contas locais compartilhadas e credenciais armazenadas em ferramentas de administração. Controladores de Domínio com sinais de estágio ou execução devem ser isolados de forma planejada, preservando evidências, e GPOs suspeitas devem ser desabilitadas ou desvinculadas após coleta de cópia forense. Se a política maliciosa continuar ativa, endpoints limpos podem ser reinfectados durante atualização de política.
A contenção de rede deve bloquear os IoCs observados, restringir tráfego leste-oeste e remover permissividade administrativa desnecessária. RPC, SMB, WMI, PsExec e RDP devem ser limitados a estáções administrativas controladas, com regras explícitas por origem. A reativação de firewall, o retorno das configurações do Defender e a remoção de exclusões amplas precisam ser validados por política, não apenas por comando local. Também é necessário procurar AnyDesk, RDP habilitado indevidamente, tarefas agendadas persistentes, serviços desconhecidos e chaves Run em HKLM e HKCU.
A recuperação deve considerar que houve coleta de credenciais. Rotação de senha apenas do usuário inicialmente identificado é insuficiente quando Mimikatz recuperou material de contas de domínio e Credential Manager. A equipe deve invalidar sessões, revisar tickets Kerberos, redefinir senhas locais com LAPS ou mecanismo equivalente, recriar segredos expostos em scripts e revisar cofres de senha acessados durante o incidente. Backups devem ser validados fora do domínio comprometido, com teste de restauração e verificação de que contas de backup, repositórios e consoles de virtualização não foram alcançados pelo atacante.
A prevenção de recorrência exige endurecimento do plano de controle do Active Directory. Contas Domain Admin não devem ser usadas em estáções comuns, tarefas administrativas devem partir de hosts dedicados, GPOs devem ter controle de mudança e alertas para alteração de scripts, SYSVOL e vínculos de política. Proteção contra adulteração do Defender, bloqueio de PowerShell não autorizado, registro detalhado de Script Block Logging, Sysmon com regras para execução remota e monitoramento de criação de serviços reduzem a janela de invisibilidade. Para ransomware com distribuição por GPO, a detecção precoce de alteração de política é tão importante quanto a detecção do binário.
- Desabilitar GPOs suspeitas, preservar cópias de SYSVOL e revisar vínculos de política antes de religar hosts afetados ao domínio.
- Rotacionar credenciais privilegiadas, contas de serviço e senhas locais; invalidar sessões e revisar material armazenado em Credential Manager.
- Bloquear
45.86.230[.]112e91.107.247[.]163, caçar conexões históricas e correlacionar com processos de origem. - Restaurar Defender, remover exclusões amplas, religar firewall, desabilitar SMB1 e reverter alterações de LSA aplicadas durante a propagação.
- Remover tarefas agendadas, serviços remotos, chaves Run, RDP indevido, AnyDesk não autorizado e binários em
ProgramDataouADMIN$.
0 Comentários