SystemBC i The Gentlemen: ujawniony serwer C2 odsłania skalę kampanii ransomware - Security Bez Tabu

SystemBC i The Gentlemen: ujawniony serwer C2 odsłania skalę kampanii ransomware

Cybersecurity news

Wprowadzenie do problemu / definicja

SystemBC to złośliwe oprogramowanie wykorzystywane jako narzędzie pośrednie w operacjach cyberprzestępczych, szczególnie w kampaniach ransomware. Jego główną rolą jest zapewnienie atakującym stabilnego kanału komunikacji z przejętymi systemami, tunelowanie ruchu oraz dostarczanie kolejnych komponentów wykorzystywanych w dalszych etapach ataku.

Najnowsze ustalenia wskazują, że infrastruktura powiązana z SystemBC była używana w działaniach grupy The Gentlemen. Analiza ujawnionego serwera dowodzenia i kontroli pokazała skalę operacji znacznie większą, niż wynikało to z wcześniej publicznie znanych przypadków.

W skrócie

  • SystemBC został powiązany z aktywnością grupy ransomware The Gentlemen.
  • Analiza ujawnionego serwera C2 wskazała ponad 1570 naruszonych organizacji.
  • Kampania obejmuje wiele regionów i wykorzystuje rozbudowany łańcuch ataku.
  • Napastnicy stosują ruch boczny, nadużycia GPO oraz próby osłabiania mechanizmów ochronnych.
  • Ryzyko dotyczy zarówno środowisk Windows, jak i platform wirtualizacyjnych, w tym ESXi.

Kontekst / historia

The Gentlemen to relatywnie nowa, ale szybko rozwijająca się grupa działająca w modelu ransomware-as-a-service. Od połowy 2025 roku zaczęła budować pozycję jednego z bardziej aktywnych podmiotów w tym segmencie cyberprzestępczości, a liczba publikowanych ofiar sugerowała dynamiczny wzrost operacji.

Jednak dopiero analiza zaplecza technicznego ujawniła, że rzeczywisty zasięg kampanii może być dużo większy niż liczba incydentów widocznych w publicznych wyciekach. To ważne przypomnienie, że oficjalnie znane przypadki stanowią często jedynie końcowy fragment całego łańcucha ataku.

Wcześniejsze obserwacje branżowe wskazywały, że The Gentlemen atakuje nie tylko klasyczne środowiska Windows, lecz także systemy Linux, BSD, urządzenia NAS oraz infrastrukturę VMware ESXi. Grupa korzysta z modelu podwójnego wymuszenia, łącząc eksfiltrację danych z ich późniejszym szyfrowaniem.

Analiza techniczna

SystemBC pełni funkcję malware typu proxy i backconnect. Pozwala zestawiać tunele sieciowe, w tym komunikację przypominającą SOCKS5, oraz utrzymywać zaszyfrowany kontakt z serwerem C2. Dzięki temu napastnicy mogą zachować dostęp do naruszonego środowiska i stopniowo rozwijać operację bez konieczności natychmiastowego uruchamiania ransomware.

Ujawniony serwer C2 wskazał ponad 1570 ofiar korporacyjnych. Taka liczba nie musi oznaczać wyłącznie organizacji, które już zostały zaszyfrowane. Część z nich mogła znajdować się na wcześniejszych etapach kompromitacji, takich jak rozpoznanie, przygotowanie eksfiltracji danych, utrzymywanie przyczółka czy selekcja celów o najwyższym potencjale finansowym.

Z dostępnych ustaleń wynika, że operatorzy lub afilianci The Gentlemen uzyskują dostęp początkowy przez usługi wystawione do Internetu albo przez przejęte poświadczenia. Następnie przechodzą do rekonesansu, ruchu bocznego oraz wdrażania dodatkowych narzędzi, które przygotowują środowisko do finalnej fazy ataku.

Na szczególną uwagę zasługuje wykorzystywanie Group Policy Objects do rozprzestrzeniania działań w domenie. Tego typu podejście umożliwia szybkie wdrażanie skryptów, zmian konfiguracyjnych lub kolejnych komponentów na wielu hostach jednocześnie, co znacząco zwiększa tempo i skalę kompromitacji.

Atakujący podejmują również próby ograniczania skuteczności ochrony endpointów. W obserwowanych scenariuszach wykorzystywano skrypty PowerShell do ingerencji w ustawienia Microsoft Defender, zapory oraz wyjątków dla określonych ścieżek i zasobów. W środowiskach ESXi działania są bardziej wyspecjalizowane, ale nadal mogą skutecznie utrudniać odzyskiwanie działania usług i maszyn wirtualnych.

Z perspektywy obronnej najważniejsze jest to, że SystemBC nie musi być końcowym malware. Jego rola polega na łączeniu początkowej kompromitacji, utrzymania dostępu i dostarczania kolejnych ładunków. To etap pośredni, który często decyduje o powodzeniu całej operacji ransomware.

Konsekwencje / ryzyko

Najważniejszy wniosek z ujawnienia tej infrastruktury jest prosty: publicznie znana liczba incydentów ransomware może znacząco zaniżać faktyczny zasięg operacji przestępczych. Jeżeli jeden serwer obsługiwał ponad 1570 naruszonych środowisk, oznacza to, że wiele organizacji mogło znajdować się w stanie ukrytej kompromitacji bez świadomości, że są już częścią większej kampanii.

Obecność SystemBC w sieci powinna być traktowana jako sygnał wysokiego ryzyka. Oznacza bowiem, że napastnicy mogą już posiadać kanał operacyjny wykorzystywany do dalszych działań, w tym rozpoznania, eksfiltracji danych, wdrażania narzędzi administracyjnych i przygotowywania szyfrowania.

Dodatkowe zagrożenie wynika z nadużywania GPO oraz automatyzacji ruchu bocznego. W praktyce może to prowadzić do szybkiej kompromitacji całej domeny, wyłączenia lub obejścia zabezpieczeń oraz zakłócenia działania infrastruktury krytycznej, zwłaszcza jeśli atak obejmuje systemy wirtualizacyjne i serwery produkcyjne.

Ryzyko zwiększa także model afiliacyjny. Różni operatorzy korzystający z tego samego zaplecza mogą realizować ataki w odmienny sposób, z różnym poziomem agresji i dojrzałości operacyjnej. Dla organizacji oznacza to konieczność monitorowania pełnego łańcucha ataku, a nie tylko symptomów końcowego szyfrowania danych.

Rekomendacje

Organizacje powinny traktować wykrycie SystemBC lub podobnych komponentów pośrednich jako incydent o wysokim priorytecie. Nawet jeśli nie doszło jeszcze do szyfrowania, sama obecność takiego narzędzia może oznaczać aktywną kompromitację i przygotowanie do dalszych działań.

  • Ograniczyć ekspozycję usług dostępnych z Internetu i wymusić MFA dla dostępu zdalnego.
  • Przeprowadzić reset poświadczeń uprzywilejowanych oraz przegląd kont serwisowych.
  • Monitorować tworzenie i modyfikację obiektów GPO oraz zmian rozprowadzanych centralnie.
  • Wykrywać nietypowe tunele sieciowe, komunikację C2 i zaszyfrowane kanały o niestandardowym charakterze.
  • Alarmować na skrypty PowerShell ingerujące w ustawienia Defendera, zapory i komponentów bezpieczeństwa.
  • Segmentować sieć oraz separować środowiska serwerowe, backupowe i wirtualizacyjne.
  • Zabezpieczać oraz regularnie testować kopie zapasowe offline, szczególnie dla systemów krytycznych i hostów ESXi.
  • Rozszerzyć telemetrię EDR i XDR o detekcję zachowań pre-ransomware, a nie wyłącznie finalnych objawów szyfrowania.

W środowiskach wirtualnych kluczowe znaczenie ma monitorowanie operacji na hostach ESXi, datastore’ach i procesach zarządzających maszynami wirtualnymi. Procedury reagowania powinny uwzględniać także możliwość szybkiej izolacji hypervisora i odseparowania repozytoriów kopii zapasowych.

Podsumowanie

Ujawnienie serwera C2 powiązanego z SystemBC dostarczyło rzadkiego wglądu w rzeczywistą skalę działalności grupy The Gentlemen. Ponad 1570 zidentyfikowanych ofiar pokazuje, że nowoczesne operacje ransomware są znacznie szersze, niż wynika to z publicznych rejestrów incydentów i serwisów wyciekowych.

Technicznie kampania łączy malware pośredniczące, ruch boczny, nadużywanie mechanizmów domenowych oraz systematyczne osłabianie zabezpieczeń przed wdrożeniem właściwego ransomware. Dla obrońców najważniejszy wniosek jest jednoznaczny: skuteczna reakcja musi zaczynać się na etapie wykrywania dostępu pośredniego i infrastruktury C2, zanim dojdzie do szyfrowania i wymuszenia.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/04/systembc-c2-server-reveals-1570-victims.html
  2. Check Point Research — https://research.checkpoint.com/
  3. Trend Micro Research — https://www.trendmicro.com/en_us/research.html
  4. ZeroFox — https://www.zerofox.com/
  5. Halcyon — https://www.halcyon.ai/