RansomwareSchwachstellenHackerangriffe

Gentlemen-Ransomware nutzt SystemBC-Botnet für koordinierte Angriffe auf Unternehmen

Gentlemen-Ransomware nutzt SystemBC-Botnet für koordinierte Angriffe auf Unternehmen
Zusammenfassung

Die Ransomware-Bande Gentlemen, eine relativ neue Ransomware-as-a-Service-Operation, hat ihre Angriffsfähigkeiten erheblich erweitert. Sicherheitsforscher von Check Point haben entdeckt, dass Affiliates der Gruppe nun das SystemBC-Proxy-Malware-Botnet mit über 1.570 infizierten Hosts einsetzen – überwiegend Unternehmensopfer. Das SystemBC-Netzwerk wird für die verdeckte Bereitstellung von Schadcode und SOCKS5-Tunneling genutzt und ermöglicht es den Angreifern, ihre Malware-Payloads durch ein verteiltes Netzwerk zu verschleiern. Die Gentlemen-Ransomware, die seit Mitte 2025 aktiv ist, zielt auf Windows-, Linux-, NAS-, BSD-Systeme und ESXi-Hypervisoren ab. Besonders besorgniserregend ist die geografische Verteilung der Opfer: Die meisten betroffenen Organisationen befinden sich in den USA, Großbritannien, Deutschland, Australien und Rumänien. Für deutsche Unternehmen und Behörden bedeutet dies eine konkrete Bedrohung, da Deutschland zu den Ländern mit höchster Infektionsrate gehört. Die Kombination aus SystemBC, Cobalt Strike und professionellen Post-Exploitation-Techniken deutet darauf hin, dass Gentlemen sich zu einer hochorganisierten Bedrohung entwickelt, die gezielt große Organisationen anvisiert und ein erhebliches Risiko für kritische Infrastrukturen darstellt.

Die Gentlemen-Ransomware-Gang verstärkt ihre Attacken durch eine strategische Partnerschaft mit SystemBC, einer seit mindestens 2019 bekannten Proxy-Malware. SystemBC ermöglicht SOCKS5-Tunneling und wird von Cyberkriminellen zur verdeckten Payload-Bereitstellung genutzt – eine ideale Ergänzung zu professionellen Ransomware-Operationen.

Das von Sicherheitsforschern entdeckte Botnet umfasst über 1.570 infizierte Hosts, die überwiegend Unternehmensumgebungen andeuten. “Die spezifische Command-and-Control-Infrastruktur deutet darauf hin, dass es sich nicht um opportunistische Angriffe handelt, sondern um gezielt koordinierte Kampagnen gegen organisierte Ziele”, erklären die Check-Point-Forscher. Trotz polizeilicher Maßnahmen gegen SystemBC im Jahr 2024 bleibt die Malware aktiv – Black Lotus Labs meldete zuletzt täglich bis zu 1.500 neu infizierte kommerzielle VPS-Server.

Die Angriffsmethodik offenbart professionelle Strukturen: Nach dem initialen Zugriff über einen Domain Controller arbeiten die Angreifer mit Domain-Admin-Privilegien. Sie führen Credential-Harvesting mittels Mimikatz durch, deployen Cobalt-Strike-Payloads via RPC und nutzen Group Policy Objects für nahezu zeitgleiche Verschlüsselung domänenbeigetretener Systeme. Vor der Verschlüsselung werden Datenbanken, Backups und Virtualisierungsprozesse deaktiviert, Shadow Copies gelöscht.

Die technische Verschlüsselung nutzt ein Hybrid-Schema basierend auf X25519 (Diffie-Hellman) und XChaCha20 mit zufällig generierten Schlüsseln pro Datei. Dateien unter 1 MB werden vollständig verschlüsselt, größere Dateien teilweise (9%, 3% oder 1%).

Gentlemen bietet modulare Locker: Ein Go-basierter für Windows, Linux, NAS und BSD-Systeme sowie einen C-basierten für ESXi-Hypervisor. Jüngste Opfer umfassen Rumäniens Energiekonzern Oltenia Energy Complex (Dezember) und Adaptavist Group (diesen Monat).

Die Check-Point-Forscher warnen, dass Gentlemen aktiv neue Affiliates über Underground-Foren rekrutiert. Die Integration von SystemBC, Cobalt Strike und einer etablierten Botnet-Infrastruktur signalisiert eine professionalisierte RaaS-Operation, die “in breitere Post-Exploitation-Toolkits und Proxy-Infrastruktur-Ökosysteme integriert” wird.

Deutsche Unternehmen sollten ihre Netzwerk-Segmentierung überprüfen, Lateral-Movement-Techniken überwachen und Domain-Admin-Konten strikt kontrollieren. Check Point stellt YARA-Regeln und Indicators of Compromise zur Verfügung.

Ähnliche Artikel