Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
SystemBC to złośliwe oprogramowanie typu proxy i backdoor, od lat wykorzystywane przez cyberprzestępców do utrzymywania ukrytej komunikacji z zainfekowanymi środowiskami. Jego rola nie ogranicza się do prostego zdalnego dostępu — malware umożliwia tunelowanie ruchu, przekazywanie poleceń oraz dostarczanie kolejnych ładunków, co czyni je istotnym elementem nowoczesnych operacji ransomware.
Najnowsza analiza infrastruktury command-and-control powiązanej z SystemBC wskazuje, że narzędzie zostało użyte w działaniach afilianta programu ransomware-as-a-service The Gentlemen. W efekcie badacze zidentyfikowali ponad 1570 ofiar, co znacząco poszerza obraz rzeczywistej skali tej kampanii.
W skrócie
Ujawniony serwer C2 powiązany z SystemBC pozwolił badaczom spojrzeć szerzej na aktywność grupy The Gentlemen niż tylko przez pryzmat publicznych stron wycieków danych. Zidentyfikowanie ponad 1570 środowisk sugeruje, że liczba organizacji dotkniętych operacją mogła być znacznie wyższa niż wcześniej zakładano.
- SystemBC pełnił rolę pośrednika komunikacyjnego i narzędzia wspierającego dalszą eksploatację sieci.
- The Gentlemen działa w modelu ransomware-as-a-service z udziałem afiliantów.
- Ataki obejmują środowiska Windows, Linux, NAS, VMware ESXi oraz BSD.
- Łańcuch ataku wskazuje na działania typowe dla modelu podwójnego wymuszenia.
Kontekst / historia
The Gentlemen to stosunkowo nowa operacja ransomware, która zaczęła być szerzej obserwowana w połowie 2025 roku. Grupa szybko zwróciła na siebie uwagę elastycznym podejściem do ataków oraz zdolnością do działania przeciwko zróżnicowanym środowiskom, od klasycznych stacji i serwerów Windows po infrastrukturę wirtualizacyjną i systemy uniksowe.
Model działania wpisuje się w znany schemat RaaS, w którym operatorzy udostępniają zaplecze techniczne i mechanizmy monetyzacji, a afilianci odpowiadają za uzyskanie dostępu początkowego oraz przeprowadzenie właściwej kompromitacji. W tym przypadku szczególnie cenne okazało się to, że analiza infrastruktury SystemBC pozwoliła ujawnić nie tylko pojedyncze incydenty kończące się publikacją na stronie wycieków, ale także szerszy ekosystem ofiar znajdujących się na różnych etapach ataku.
Analiza techniczna
SystemBC jest od lat kojarzony z operacjami ransomware jako narzędzie pośredniczące między napastnikiem a przejętym środowiskiem. Jego kluczową funkcją jest tworzenie tuneli SOCKS5 i zapewnianie zaszyfrowanego kanału komunikacji z serwerem C2. Dzięki temu operatorzy zyskują bardziej dyskretny dostęp, mogą przekierowywać ruch oraz uruchamiać kolejne komponenty bez natychmiastowego wdrażania finalnego szyfratora.
W przypadku The Gentlemen obserwowany łańcuch ataku wskazuje na klasyczny scenariusz wieloetapowy. Choć dokładny punkt wejścia nie został jednoznacznie potwierdzony, najbardziej prawdopodobne pozostają nadużycia usług dostępnych z internetu lub wykorzystanie przejętych poświadczeń. Po uzyskaniu dostępu napastnicy przechodzą do rekonesansu, identyfikacji zasobów, ruchu bocznego oraz przygotowania środowiska pod wdrożenie takich narzędzi jak Cobalt Strike, SystemBC i właściwy ransomware.
Istotną rolę odgrywa wykorzystanie obiektów zasad grupowych GPO do szerokiego rozprzestrzeniania działań w domenie. Taki mechanizm pozwala centralnie uruchamiać skrypty i binaria na wielu hostach jednocześnie, znacząco przyspieszając kompromitację. Dodatkowo napastnicy modyfikują ustawienia ochrony, w tym Windows Defender, przy użyciu skryptów PowerShell, wyłączają wybrane mechanizmy monitorowania, dodają wyjątki, osłabiają zaporę, przywracają SMBv1 oraz poluzowują część ustawień związanych z dostępem anonimowym.
Wariant wymierzony w ESXi ma prostszą funkcjonalność niż odpowiednik dla Windows, ale pozostaje bardzo groźny. Jego zadaniem jest przede wszystkim wyłączanie maszyn wirtualnych i przygotowanie hosta do zaszyfrowania datastore’ów, co w środowiskach wirtualizacyjnych może przełożyć się na jednoczesne zakłócenie wielu usług biznesowych.
Z perspektywy obrońców kluczowe znaczenie ma nie tylko obecność samego SystemBC, lecz także jego funkcja operacyjna. Wykrycie takiego malware może oznaczać, że organizacja znajduje się już na wcześniejszym etapie pełnoskalowego ataku ransomware, obejmującym utrzymanie dostępu, eksfiltrację danych oraz przygotowanie do destrukcyjnego uderzenia.
Konsekwencje / ryzyko
Ujawnienie ponad 1570 ofiar pokazuje, że publiczne statystyki ransomware mogą istotnie zaniżać rzeczywisty obraz zagrożenia. Brak nazwy organizacji na stronie wycieku nie oznacza, że nie doszło do kompromitacji — wiele podmiotów może pozostawać w fazie rozpoznania, eksfiltracji lub przygotowania do szyfrowania.
The Gentlemen prezentuje model działania charakterystyczny dla dojrzalszych grup ransomware: specjalizację afiliantów, wykorzystanie dodatkowych narzędzi pośrednich, dopasowanie technik do typu środowiska oraz nacisk na szybkie przejście od dostępu początkowego do etapu wymuszenia. Największe ryzyko dotyczy organizacji z rozproszoną infrastrukturą hybrydową, niewystarczającą segmentacją sieci, słabo chronionymi systemami brzegowymi i nadmiernymi uprawnieniami administracyjnymi.
- utrata dostępności systemów i usług,
- eksfiltracja danych przed szyfrowaniem,
- wymuszenie finansowe i presja publikacji danych,
- zakłócenie działania usług krytycznych,
- straty reputacyjne i potencjalne skutki regulacyjne.
Rekomendacje
Organizacje powinny traktować obecność SystemBC, Cobalt Strike lub podobnych narzędzi jako silny sygnał ostrzegawczy wskazujący na możliwą operację ransomware w toku. Oznacza to konieczność natychmiastowego uruchomienia procedur reagowania, izolacji podejrzanych hostów, analizy ruchu wychodzącego oraz weryfikacji, czy w domenie nie doszło do nadużycia GPO.
- ograniczyć powierzchnię ataku przez wyłączenie lub odpowiednie zabezpieczenie usług wystawionych do internetu,
- wymusić MFA dla dostępu zdalnego i kont uprzywilejowanych,
- monitorować użycie PowerShell, PsExec, WMI, zadań zdalnych i zmian w GPO,
- wykrywać nietypowe tunele SOCKS5 oraz niestandardową komunikację C2,
- utwardzić Microsoft Defender i rozwiązania EDR przed próbami wyłączenia,
- wyłączyć przestarzałe protokoły, takie jak SMBv1, jeśli nie są niezbędne,
- segmentować środowiska serwerowe, backupowe i wirtualizacyjne,
- chronić hosty ESXi i ograniczać dostęp administracyjny do platform VMware,
- regularnie testować kopie zapasowe w scenariuszu pełnego odtworzenia,
- prowadzić threat hunting ukierunkowany na artefakty poprzedzające uruchomienie szyfratora.
Podsumowanie
Przypadek The Gentlemen i infrastruktury SystemBC potwierdza, że współczesne operacje ransomware są coraz bardziej zindustrializowane, wielowarstwowe i trudniejsze do oszacowania wyłącznie na podstawie publicznych wycieków. Ujawnienie ponad 1570 ofiar sugeruje, że rzeczywista skala kompromitacji może być znacząco większa niż oficjalnie znane statystyki.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: wykrycie malware pośredniczącego, takiego jak SystemBC, nie powinno być traktowane jako incydent niskiego poziomu. To potencjalny sygnał przygotowania do ataku destrukcyjnego, który wymaga szybkiej korelacji zdarzeń, analizy ruchu bocznego i zdecydowanej reakcji zanim dojdzie do szyfrowania zasobów.
Źródła
- The Hacker News — https://thehackernews.com/2026/04/systembc-c2-server-reveals-1570-victims.html
- Check Point Research — Cracking Open The Gentlemen: Inside a Ransomware Affiliate Program — https://research.checkpoint.com/2026/cracking-open-the-gentlemen-inside-a-ransomware-affiliate-program/
- Trend Micro — The Gentlemen Targets Enterprises With Tailored Ransomware Tradecraft — https://www.trendmicro.com/en_us/research/25/i/the-gentlemen-ransomware-analysis.html
- Rapid7 — Kyber Ransomware Analysis — https://www.rapid7.com/blog/post/2026/04/21/kyber-ransomware-analysis/
- ZeroFox — Ransomware and Digital Extortion Q1 2026 Report — https://www.zerofox.com/resources/reports/ransomware-digital-extortion-q1-2026/