Infraestrutura associada ao proxy malware revelou mais de 1.570 redes comprometidas e reforça o uso de túneis SOCKS5, movimentação lateral, abuso de GPO e impacto sobre ambientes Windows e ESXi.
| Componente | Operação de ransomware The Gentlemen, com uso observado do proxy malware SystemBC e variantes de locker para Windows, Linux, NAS, BSD e ESXi. |
| Vetor | O acesso inicial não foi confirmado; as evidências indicam abuso provável de serviços expostos à internet ou credenciais comprometidas, seguido de descoberta, movimentação lateral, preparação de payloads e implantação do ransomware. |
| Impacto | O servidor C2 ligado ao SystemBC revelou mais de 1.570 vítimas, com capacidade de criar túneis SOCKS5, comunicar-se por protocolo customizado cifrado com RC4, baixar e executar malware adicional em disco ou em memória e apoiar operações de ransomware. |
| Prioridade | Validar exposição externa e identidade, revisar GPOs, procurar telemetria de túneis persistentes e atividade lateral, fortalecer controles de EDR/Defender e priorizar contenção de hosts com sinais de staging de SystemBC, Cobalt Strike ou binários de ransomware. |
| Artefatos | Foram citados SystemBC, Cobalt Strike, locker em Go, scripts de alteração de controles defensivos, uso de GPO, tentativa de reativação de SMB1, persistência por crontab em ESXi e técnicas do tipo BYOVD como tendência no ecossistema de ransomware. |
| Alcance | A infraestrutura relacionada ao SystemBC indicou vítimas em múltiplos países, incluindo Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia; o grupo também aparece entre os operadores mais ativos em incidentes de ransomware e extorsão digital no primeiro trimestre de 2026. |
Uma operação associada ao ransomware-as-a-service The Gentlemen foi observada tentando implantar o proxy malware SystemBC em ambiente comprometido. A análise da infraestrutura de comando e controle vinculada ao SystemBC expôs uma botnet com mais de 1.570 vítimas, número que sugere uma superfície operacional maior do que a contagem pública de vítimas em sites de extorsão. O ponto tecnicamente relevante é que o SystemBC não atua como encryptor principal: ele funciona como camada de acesso, proxy e execução adicional, permitindo que operadores mantenham conectividade dentro da rede da vítima e preparem fases posteriores da intrusão.
O SystemBC estabelece túneis SOCKS5 no ambiente comprometido e se comunica com o servidor de comando e controle por um protocolo customizado cifrado com RC4. Além da função de proxy, o malware pode baixar e executar componentes adicionais, gravando payloads em disco ou injetando-os diretamente em memória. Essa combinação é útil para operadores de ransomware porque separa acesso, movimentação, preparação de ferramenta e implantação final do locker. Mesmo quando a cadeia completa de acesso inicial não está clara, a presença desse tipo de proxy em uma rede corporativa deve ser tratada como evidência de comprometimento avançado, não como simples malware oportunista.
Desde julho de 2025, The Gentlemen passou a figurar entre operações de ransomware de alto volume, com mais de 320 vítimas reivindicadas em seu site de vazamento. O modelo descrito é de dupla extorsão, mas a relação exata entre o SystemBC e a operação ainda tem limites de atribuição: não está confirmado se o malware faz parte de um playbook central do grupo ou se foi usado por um afiliado específico para acesso remoto, preparação de payloads ou eventual suporte a extorsão. Essa distinção importa para a defesa porque a detecção de SystemBC pode indicar tanto uma fase intermediária de uma intrusão em andamento quanto infraestrutura compartilhada por afiliados diferentes dentro do ecossistema de ransomware.
O acesso inicial atribuído à operação não foi determinado com precisão. O material analisado aponta evidências de abuso de serviços acessíveis pela internet ou credenciais comprometidas para obter o primeiro ponto de apoio. Depois desse estágio, a sequência observada inclui descoberta do ambiente, movimentação lateral, staging de ferramentas e preparação de componentes como Cobalt Strike, SystemBC e o encryptor. O uso de GPO é um elemento crítico nessa cadeia, porque políticas de grupo podem transformar uma intrusão localizada em alcance de domínio quando um operador consegue permissões suficientes para distribuir configurações, scripts ou binários a múltiplos hosts.
Durante a movimentação lateral em Windows, a operação tenta reduzir a visibilidade dos controles defensivos antes da execução do ransomware. O comportamento descrito envolve alterações que enfraquecem monitoramento em tempo real, ampliam exclusões, desativam barreiras locais, relaxam controles de acesso anônimo e tentam reativar SMB1. Esses detalhes não devem ser lidos como instruções de execução, mas como pontos de observação defensiva: mudanças simultâneas em proteção de endpoint, firewall, compartilhamentos e políticas de autenticação perto do momento de cópia de binários são fortes indicadores de preparação para impacto em escala.
As variantes citadas abrangem mais de uma plataforma. O locker em Go é apresentado como capaz de atingir Windows, Linux, NAS e BSD, enquanto a variante para ESXi tem menos funcionalidades que a versão Windows, mas inclui ações específicas para ambientes de virtualização. A versão ESXi pode desligar máquinas virtuais para aumentar a eficácia da criptografia, adicionar persistência por crontab e inibir recuperação antes da implantação do binário de ransomware. Em ambientes virtualizados, esse fluxo altera a prioridade de resposta: a defesa precisa correlacionar eventos no hypervisor, mudanças em tarefas agendadas, desligamento incomum de VMs e atividade de I/O anormal em datastores.
O papel do SystemBC dentro desse fluxo é fornecer conectividade resiliente e flexível. Túneis SOCKS5 permitem que tráfego de operador ou de ferramentas seja roteado por dentro de uma máquina comprometida, dificultando a separação entre sessão legítima, tráfego administrativo e canal de comando. A comunicação cifrada por protocolo próprio também reduz a utilidade de inspeção simples baseada apenas em conteúdo. Por isso, a caça deve focar padrões comportamentais, como processos incomuns mantendo conexões persistentes, novos binários sem procedência clara, execução em memória, conexões externas repetitivas a destinos pouco vistos e uso de hosts internos como pivôs.
A superfície exposta envolve redes corporativas com serviços publicados, contas reaproveitadas ou credenciais comprometidas, estáções Windows, servidores, ambientes de domínio, infraestrutura NAS e hosts de virtualização. O risco não fica restrito ao sistema onde o primeiro binário é visto. Quando operadores abusam de GPO, credenciais e ferramentas de administração, a propagação passa a depender da topologia de permissões, dos compartilhamentos acessíveis, do alcance administrativo e da capacidade de distribuir alterações a hosts remotos. Em redes com permissões excessivas, uma conta comprometida pode viabilizar staging amplo antes que a criptografia se torne visível.
O conjunto de vítimas associado ao C2 do SystemBC foi distribuído globalmente, com presença em países como Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia. A contagem de mais de 1.570 vítimas vinculadas à infraestrutura do proxy malware não equivale automaticamente a 1.570 incidentes de ransomware concluídos, mas indica comprometimentos suficientes para estabelecer canal de comando ou controle. Esse ponto evita uma leitura exagerada do impacto e, ao mesmo tempo, mostra que a operação tinha acesso a um conjunto amplo de ambientes ainda não necessariamente refletido em divulgações públicas.
No panorama mais amplo de ransomware e extorsão digital, foram observados pelo menos 2.059 incidentes separados no primeiro trimestre de 2026, com 747 em março. Entre os grupos mais ativos no período aparecem Qilin, Akira, The Gentlemen, INC Ransom e Cl0p. The Gentlemen teve 192 ocorrências nessa contagem, e sua distribuição regional na América do Norte variou de cerca de 20% no terceiro trimestre de 2025 para 2% no quarto trimestre de 2025 e 13% no primeiro trimestre de 2026. Esse padrão difere de coletivos que concentram pelo menos metade das vítimas na região, sugerindo seleção geográfica menos convencional ou dinâmica de afiliados distinta.
- Domínios Windows com
GPOscapazes de distribuir scripts, exclusões, alterações de firewall ou binários a hosts remotos. - Servidores
ESXie ambientes VMware com datastores críticos, VMs sensíveis e tarefas persistentes porcrontab. - Serviços expostos à internet e contas com credenciais reutilizadas, fracas ou já comprometidas, embora o método exato de acesso inicial não esteja confirmado.
- Ambientes NAS, Linux, BSD e Windows onde lockers multiplataforma podem ampliar o impacto operacional.
A caça deve começar por sinais de acesso persistente e infraestrutura de proxy. Em endpoints, o foco técnico é identificar processos incomuns que criam conexões externas de longa duração, tráfego cifrado com perfil não reconhecido, binários recém-introduzidos em caminhos de staging e execução de payloads que não deixam artefatos equivalentes em disco. A presença de SystemBC pode ser inferida por combinação de túnel SOCKS5, comunicação periódica com C2 e execução adicional, mas a ausência de IoCs públicos no contexto exige abordagem comportamental e não apenas bloqueio por hash ou domínio.
Em Active Directory, a telemetria deve priorizar alterações em GPO, criação ou modificação de políticas com escopo amplo, mudanças repentinas em configurações de Defender, firewall, compartilhamentos e permissões anônimas. Eventos administrativos legítimos tendem a ocorrer em janelas e por contas previsíveis; alterações simultâneas em múltiplos controles de segurança, especialmente antes de cópia de executáveis ou execução remota, devem ser revisadas como possível preparação de ransomware. A tentativa de reintroduzir SMB1 é particularmente relevante porque esse protocolo costuma estar desativado em ambientes maduros e sua reativação pode ampliar rotas de movimentação lateral.
Para ESXi, a telemetria útil inclui desligamentos não planejados de VMs, alterações em tarefas agendadas, modificações em arquivos de inicialização, atividade intensiva e incomum em datastores e tentativas de impedir recuperação. Em redes com EDR e NDR, correlacionar picos de autenticação, varredura interna, transferência de binários e mudanças de política permite detectar a progressão antes da fase de criptografia. Também é importante diferenciar incidente real de ruído: um único alerta de ferramenta administrativa não confirma ransomware, mas uma sequência com credencial suspeita, conexão externa persistente, alteração defensiva e staging de payload eleva a prioridade de contenção.
- Conexões externas persistentes partindo de hosts que normalmente não atuam como proxy ou ponto de administração remota.
- Alterações recentes em
GPOque desativem ou reduzam proteção de endpoint, firewall, regras de acesso ou controles de autenticação. - Sinais de staging de
Cobalt Strike,SystemBCou encryptor em compartilhamentos administrativos, diretórios temporários ou caminhos de distribuição interna. - Desligamento incomum de VMs, mudanças em
crontabe atividade anormal em datastores deESXi. - Tentativa de reativação de
SMB1ou relaxamento de controles de acesso anônimo em hosts Windows.
A resposta deve priorizar contenção de identidade e infraestrutura de administração antes de tratar o evento apenas como malware em endpoint. Quando há suspeita de SystemBC ou staging de ransomware, isolar o host afetado reduz o uso dele como pivô, mas não basta se credenciais e GPOs já foram abusadas. É necessário revisar contas com privilégio, sessões ativas, alterações recentes de política, compartilhamentos usados para distribuição e qualquer mecanismo de execução remota acionado no intervalo do incidente. A rotação de credenciais deve considerar contas humanas, contas de serviço e segredos usados por ferramentas de administração.
Em Windows, a validação defensiva precisa confirmar que monitoramento em tempo real, firewall, exclusões, permissões de acesso e protocolos legados estão no estado esperado. Exclusões amplas e recém-criadas devem ser removidas após avaliação, e mudanças em políticas de domínio precisam ser versionadas, revisadas e comparadas com o baseline. Em ESXi, a mitigação passa por revisar persistência, integridade de tarefas agendadas, estado das VMs, snapshots confiáveis e capacidade real de restauração. Como a variante citada tenta prejudicar recuperação antes da execução do binário, backups devem ser testados fora do plano de gerenciamento possivelmente comprometido.
O caso reforça uma tendência operacional: operações de ransomware estão reduzindo tempo de permanência, usando janelas de noite e fim de semana e adaptando ferramentas para enfraquecer EDR, explorar drivers vulneráveis por técnicas BYOVD e atingir organizações pequenas, médias e ambientes de tecnologia operacional. A mitigação, portanto, não deve depender apenas de resposta manual em horário comercial. Controles de bloqueio para alterações críticas, aprovação forte para GPO, segmentação de administração, MFA resistente a phishing, monitoramento contínuo de hypervisors e ensaios de restauração são medidas que reduzem a chance de uma intrusão com proxy malware virar indisponibilidade ampla.
- Isolar hosts com comportamento de proxy, conexões C2 suspeitas ou staging de payload e preservar evidências antes de limpeza destrutiva.
- Revisar e reverter alterações não autorizadas em
GPO, Defender, firewall, permissões anônimas, exclusões eSMB1. - Auditar contas privilegiadas, contas de serviço, sessões administrativas e credenciais usadas em serviços expostos à internet.
- Validar persistência e integridade em
ESXi, incluindocrontab, tarefas administrativas, estado de VMs e acesso aos datastores. - Testar restauração a partir de backups isolados e confirmar que snapshots ou cópias críticas não dependem de credenciais já comprometidas.
0 Comentários