Los operadores del ransomware Gentlemen despliegan SystemBC para crear una botnet global

Introducción

En los últimos meses, los equipos de seguridad han detectado una intensificación de las actividades maliciosas vinculadas al grupo conocido como The Gentlemen, operadores de una variante de ransomware bajo el modelo Ransomware-as-a-Service (RaaS). Recientes investigaciones publicadas por Check Point han puesto de relieve el uso coordinado de SystemBC, un conocido malware proxy, como herramienta fundamental en las campañas de ataque del grupo. El despliegue de SystemBC no solo facilita las comunicaciones encubiertas y la persistencia en los sistemas comprometidos, sino que ha permitido la creación de una botnet compuesta por más de 1.570 víctimas distribuidas globalmente.

Contexto del Incidente o Vulnerabilidad

The Gentlemen ha ganado notoriedad en el ecosistema del cibercrimen por ofrecer su ransomware mediante un modelo de afiliados que permite a terceros ejecutar campañas de cifrado y extorsión, a cambio de una comisión. En este contexto, la integración de SystemBC supone una evolución significativa en la cadena de ataque. SystemBC es un proxy modular identificado en campañas previas vinculadas a otros grupos de ransomware como Ryuk y Conti, y permite a los operadores establecer canales de comunicación cifrados y persistentes con los sistemas víctimas.

La investigación de Check Point ha identificado que la infraestructura de mando y control (C2) asociada a SystemBC está activa y operativa, gestionando una amplia red de sistemas comprometidos. El análisis de los patrones de tráfico y los artefactos en los endpoints afectados sugiere que la botnet resultante opera de forma resiliente y puede ser utilizada para múltiples propósitos maliciosos, desde el despliegue adicional de malware hasta la exfiltración de datos o el movimiento lateral.

Detalles Técnicos

SystemBC se distribuye principalmente a través de kits de exploits y campañas de phishing, aprovechando vulnerabilidades conocidas en sistemas Windows. Las versiones afectadas incluyen Windows 7, 8, 10 y Server 2012/2016/2019 sin los últimos parches de seguridad. El malware establece túneles SOCKS5 sobre canales cifrados TLS, permitiendo a los operadores evadir soluciones de monitorización de red tradicionales.

El vector de ataque más común identificado corresponde a la ejecución de scripts maliciosos (PowerShell y VBS) que descargan el binario de SystemBC desde dominios comprometidos. Una vez desplegado, el malware se configura como servicio persistente y contacta con el servidor C2 mediante direcciones IP rotativas, dificultando su rastreo.

En términos de TTPs (Tácticas, Técnicas y Procedimientos) según el framework MITRE ATT&CK, SystemBC se asocia principalmente con los siguientes identificadores:
– T1071.001: Application Layer Protocol: Web Protocols (HTTPS)
– T1090: Proxy
– T1219: Remote Access Software
– T1059: Command and Scripting Interpreter

Los Indicadores de Compromiso (IoC) identificados incluyen hashes MD5/SHA256 específicos, direcciones IP de C2 y patrones de tráfico anómalos asociados a la creación de túneles SOCKS5 persistentes.

Impacto y Riesgos

La botnet identificada, compuesta por más de 1.570 dispositivos comprometidos, representa una amenaza significativa para organizaciones de todos los sectores. Los riesgos principales incluyen:
– Exfiltración de información confidencial y credenciales de acceso.
– Movimientos laterales para comprometer infraestructuras críticas.
– Despliegue de cargas adicionales como ransomware (Gentlemen, Ryuk, Conti) o herramientas de post-explotación (Cobalt Strike, Metasploit).
– Uso de los sistemas infectados como proxies en campañas de ataque dirigidas, dificultando la atribución.

Se estima que el tiempo medio de permanencia de SystemBC en los sistemas afectados supera los 45 días, aumentando la superficie de exposición y los daños potenciales. El coste económico para las víctimas puede superar los 800.000 euros por incidente, considerando tanto rescates como costes de recuperación y sanciones regulatorias bajo GDPR y NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a SystemBC y las campañas de The Gentlemen, los expertos recomiendan:
– Actualizar todos los sistemas Windows con los últimos parches de seguridad.
– Desplegar soluciones EDR y sistemas de monitorización de tráfico que permitan detectar y bloquear túneles SOCKS5 y conexiones C2 anómalas.
– Configurar políticas de restricción de ejecución de scripts y macros.
– Revisar y reforzar las políticas de autenticación y acceso, incluyendo MFA.
– Implementar segmentación de red y controles de acceso basados en Zero Trust.

Además, es crucial establecer procedimientos de respuesta ante incidentes y planes de continuidad de negocio para minimizar el impacto en caso de ataque.

Opinión de Expertos

Según David Carmona, analista principal de amenazas en Check Point, “El uso de SystemBC demuestra la creciente sofisticación de los grupos de ransomware, que ya no se limitan a cifrar archivos, sino que buscan establecer persistencia y control a largo plazo. La colaboración entre distintos actores y la externalización de infraestructuras de C2 plantean nuevos desafíos para los equipos de defensa.”

Implicaciones para Empresas y Usuarios

La proliferación de botnets como la creada por SystemBC obliga a las organizaciones a revisar sus estrategias de defensa y a invertir en soluciones de detección y respuesta avanzadas. Los sectores más afectados incluyen sanidad, finanzas, administración pública y empresas industriales. Para los usuarios finales, el riesgo de que sus dispositivos sean utilizados como parte de una botnet subraya la importancia de la higiene digital básica y la sensibilización frente a ataques de ingeniería social.

Conclusiones

El despliegue coordinado de SystemBC por parte de los operadores del ransomware Gentlemen refuerza la tendencia hacia ataques cada vez más modulares y persistentes. La detección temprana y la respuesta rápida resultan cruciales para contener la expansión de botnets y limitar el impacto económico y reputacional. La colaboración entre organismos, empresas y fabricantes de seguridad será determinante para anticipar nuevos movimientos de los actores de amenazas.

(Fuente: feeds.feedburner.com)