Se ha observado que los actores de amenazas asociados con la operación The Gentlemen ransomware-as-a-service (RaaS) intentan implementar un malware proxy conocido llamado SistemaBC.
De acuerdo a nueva investigación Publicado por Check Point, el servidor de comando y control (C2 o C&C) vinculado a SystemBC ha llevado al descubrimiento de una botnet con más de 1.570 víctimas.
«SystemBC establece túneles de red SOCKS5 dentro del entorno de la víctima y se conecta a su servidor C&C utilizando un protocolo cifrado RC4 personalizado», dijo Check Point. También puede descargar y ejecutar malware adicional, con cargas útiles escritas en el disco o inyectadas directamente en la memoria.
Desde su aparición en julio de 2025, The Gentlemen se ha establecido rápidamente como uno de los grupos de ransomware más prolíficos, cobrándose más de 320 víctimas en su sitio de filtración de datos. Operando bajo un modelo clásico de doble extorsión, el grupo es tan versátil como sofisticado, exhibiendo capacidades para apuntar a sistemas Windows, Linux, NAS y BSD con un casillero basado en Go, además de emplear conductores legítimos y herramientas maliciosas personalizadas para subvertir las defensas.
No está claro exactamente cómo los actores de amenazas obtienen acceso inicial, aunque la evidencia sugiere que se está abusando de los servicios de Internet o de las credenciales comprometidas para establecer un punto de apoyo inicial, seguido de la participación en el descubrimiento, el movimiento lateral, la puesta en escena de la carga útil (es decir, Cobalt Strike, SystemBC y el cifrador), la evasión de defensa y la implementación de ransomware. Un aspecto notable de los ataques es el abuso de los objetos de política de grupo (GPO) para facilitar el compromiso de todo el dominio.
«Al adaptar sus tácticas a proveedores de seguridad específicos, The Gentlemen ha demostrado una gran conciencia de los entornos de sus objetivos y una voluntad de participar en un reconocimiento profundo y modificación de herramientas durante el curso de su operación», dijo el proveedor de seguridad Trend Micro. anotado en un análisis del oficio del grupo en septiembre de 2025.
Los últimos hallazgos de Check Point muestran que un afiliado de The Gentlemen RaaS implementó SystemBC en un host comprometido, con el servidor C2 vinculado al malware proxy que se apoderó de cientos de víctimas en todo el mundo, incluidos EE. UU., Reino Unido, Alemania, Australia y Rumania.
Si bien SystemBC ha sido utilizado en operaciones de ransomware Ya en 2020, la naturaleza exacta de la conexión entre el malware y el esquema de crimen electrónico de The Gentlemen aún no está clara, por ejemplo, si es parte del manual de ataque o si es algo implementado por un afiliado específico para la exfiltración de datos y el acceso remoto.
«Durante el movimiento lateral, el ransomware intenta cegar a Windows Defender en cada host remoto accesible al impulsar un script de PowerShell que deshabilita el monitoreo en tiempo real, agrega amplias exclusiones para la unidad, el recurso compartido de preparación y su propio proceso, apaga el firewall, vuelve a habilitar SMB1 y afloja los controles de acceso anónimo de LSA, todo antes de implementar y ejecutar el binario del ransomware en ese host», dijo Check Point.
La variante ESXi incorpora menos funcionalidades que la variante de Windows, pero está equipada para apagar máquinas virtuales para mejorar la efectividad del ataque, agrega persistencia a través de crontab e inhibe la recuperación antes de que se implemente el binario del ransomware.
«La mayoría de los grupos de ransomware hacen ruido cuando se inician y luego desaparecen. Los Gentlemen son diferentes», dijo Eli Smadja, gerente de grupo de Check Point Research, en un comunicado compartido con The Hacker News.
«Han solucionado el problema de reclutamiento de afiliados al ofrecer un mejor trato que cualquier otra persona en el ecosistema criminal. Cuando ingresamos a uno de los servidores de su operador, encontramos más de 1,570 redes corporativas comprometidas que ni siquiera habían aparecido en las noticias todavía. La escala real de esta operación es significativamente mayor de lo que se conoce públicamente, y sigue creciendo».
Los hallazgos se producen cuando Rapid7 destacó el funcionamiento interno de otra familia de ransomware relativamente nueva llamada Kyber que surgió en septiembre de 2025, dirigido a infraestructuras Windows y VMware ESXi utilizando cifradores desarrollados en Rust y C++, respectivamente.
«La variante ESXi está diseñada específicamente para entornos VMware, con capacidades para cifrado de almacenes de datos, terminación opcional de máquinas virtuales y alteración de interfaces de administración», dijo la empresa de ciberseguridad. dicho. «La variante de Windows, escrita en Rust, incluye una característica ‘experimental’ que él mismo describe para apuntar a Hyper-V».
«Kyber ransomware no es una obra maestra de código complejo, pero es muy eficaz a la hora de causar destrucción. Refleja un cambio hacia la especialización sobre la sofisticación».
Según los datos compilados por ZeroFox, en el primer trimestre de 2026 se observaron al menos 2.059 incidentes distintos de ransomware y extorsión digital (I+DE), y en marzo se registraron no menos de 747 incidentes. Los grupos más activos durante el período fueron Qilin (338), Akira (197), The Gentlemen (192), INC Ransom y Cl0p.
«En particular, las víctimas con sede en América del Norte representaron aproximadamente el 20 por ciento de los ataques de The Gentlemen en el tercer trimestre de 2025, el 2% en el cuarto trimestre de 2025 y el 13% en el primer trimestre de 2026», ZeroFox. dicho. «Esto va en gran medida en contra de las tendencias típicas de ataques regionales por parte de otros colectivos de I+D, de los cuales al menos el 50 por ciento son víctimas de América del Norte».
La velocidad cambiante de los ataques de ransomware
La empresa de ciberseguridad Halcyon, en su Informe de evolución del ransomware 2025reveló que la amenaza continúa madurando hasta convertirse en algo más disciplinado y una empresa criminal impulsada por los negocios, incluso cuando los ataques de ransomware dirigidos a la industria automotriz más del doble en 2025representando el 44% de todos los incidentes cibernéticos en todo el sector.
Otras tendencias importantes incluyen intentos de perjudicar la seguridad de las herramientas de detección y respuesta de endpoints (EDR), el uso de Bring Your Own Vulnerable Driver (BYOVD) técnica de ataque para escalar privilegios y desactivar soluciones de seguridad, desdibujando el estado-nación y campañas criminales de ransomwarey una mayor orientación a organizaciones pequeñas y medianas y entornos de tecnología operativa (OT).
«El ransomware continuó creciendo como un ecosistema industrializado duradero construido sobre la especialización, la infraestructura compartida y la rápida regeneración en lugar de una sola marca», dijo. «La presión de las fuerzas del orden y las incautaciones de infraestructura interrumpieron operaciones importantes, generando fragmentación, cambios de marca e intensificación de la competencia en un panorama más fluido».
Las operaciones de ransomware son cada vez más rápidas y los tiempos de permanencia se reducen de días a horas. Se ha descubierto que alrededor del 69% de los intentos de ataque observados se realizaron deliberadamente durante las noches y los fines de semana para superar la respuesta de los defensores.
Por ejemplo, los ataques que involucran el ransomware Akira han demostrado una rapidez inusual, escalando rápidamente desde el punto de apoyo inicial hasta el cifrado completo en una hora en algunos casos sin detección, lo que destaca un motor de ataque bien engrasado diseñado para maximizar el impacto.
«La combinación de Akira de capacidades de compromiso rápido, ritmo operativo disciplinado e inversión en infraestructura de descifrado confiable lo distingue de muchos operadores de ransomware», dijo Halcyon. «Los defensores deberían tratar a Akira no como una amenaza oportunista, sino como un adversario capaz y persistente que explotará cada debilidad disponible para alcanzar su objetivo».
Fuente