“绅士” 勒索软件借助 SystemBC 发动僵尸网络攻击

在对“绅士”勒索软件团伙成员发动的一起攻击展开调查后，发现了一个由超过1570台主机组成的SystemBC代理恶意软件僵尸网络，这些主机疑似为企业受害者。

“绅士”勒索软件即服务（RaaS）运营活动于2025年年中左右出现，提供一款基于Go语言的加密程序，可对Windows、Linux、网络附属存储（NAS）和BSD系统进行加密，以及一款基于C语言的针对ESXi虚拟机管理程序的加密程序。

去年12月，该勒索软件攻击了罗马尼亚最大的能源供应商之一——奥尔泰尼亚能源综合体。本月初，Adaptavist集团披露了一起数据泄露事件，“绅士”勒索软件已将相关信息发布在其数据泄露网站上。

尽管该RaaS运营活动公开宣称约有320名受害者，且大多数攻击发生在今年，但Check Point研究人员发现，“绅士”勒索软件团伙成员正在扩充其攻击工具包和基础设施。

在一次事件响应行动中，研究人员发现该勒索软件运营活动的一名成员试图部署代理恶意软件，以秘密交付有效载荷。

研究人员在今日发布的一份报告中指出：“Check Point Research观察到来自相关SystemBC命令与控制服务器的受害者遥测数据，显示存在一个由超过1570名受害者组成的僵尸网络。感染特征强烈表明，攻击重点是企业和组织环境，而非随机针对普通用户。”

SystemBC至少从2019年就已存在，用于SOCKS5隧道代理。由于它能够交付恶意有效载荷，很快就被勒索软件团伙采用。尽管2024年的一次执法行动对其产生了影响，但该僵尸网络仍在活动。去年，黑莲花实验室报告称，它每天感染1500台商业虚拟专用服务器（VPS），以传输恶意流量。

据Check Point称，与“绅士”勒索软件部署SystemBC相关的受害者大多位于美国、英国、德国、澳大利亚和罗马尼亚。

Check Point表示：“用于通信的特定命令与控制服务器已感染全球大量受害者。鉴于SystemBC通常作为人为操作的入侵工作流程的一部分进行部署，而非大规模随机攻击，这些受害者很可能大多数是公司和组织。”

研究人员不确定SystemBC在“绅士”勒索软件生态系统中的具体作用，也无法确定该恶意软件是否被多个团伙成员使用。

感染链与加密机制

尽管Check Point无法确定所观察到的攻击中的初始访问途径，但研究人员表示，“绅士”威胁行为者是通过具有域管理员权限的域控制器进行操作的。

从那里，攻击者检查哪些凭据可用，并在通过远程过程调用（RPC）向远程系统部署Cobalt Strike有效载荷之前进行侦察。

攻击者利用Mimikatz进行凭据收集，并通过远程执行实现横向移动。他们从内部服务器部署勒索软件，并利用内置的传播功能和组策略（GPO），在加入域的系统上几乎同时触发加密程序的执行。



据研究人员称，该恶意软件采用基于X25519（迪菲-赫尔曼密钥交换）和XChaCha20的混合加密方案，为每个文件生成一个随机临时密钥对。

小于1MB的文件会被完全加密，而较大文件仅约9%、3%或1%的数据块会被加密。

在加密之前，“绅士”勒索软件会终止数据库、备份软件和虚拟化进程，并删除卷影副本和日志。ESXi版本还会关闭虚拟机，以确保磁盘可以被加密。

“绅士”勒索软件并不常成为头条新闻，但Check Point警告称，该RaaS运营活动正在迅速发展，通过地下论坛招募新的勒索软件团伙成员。

研究人员认为，结合使用SystemBC、Cobalt Strike以及由1570台主机组成的僵尸网络，可能表明“绅士”勒索软件团伙如今的运作水平有所提升，“积极融入成熟的、利用后的框架和代理基础设施组成的更广泛工具链”。

除了从调查事件中收集的入侵指标（IoCs）外，Check Point还以YARA规则的形式提供基于签名的检测方法，帮助安全防御人员防范此类攻击。