Une botnet de plus de 1 570 hôtes, probablement des entreprises, a été identifiée suite à une enquête sur une attaque menée par le ransomware Gentlemen, orchestrée par un affilié du groupe. Ce malware fait partie de l’opération de ransomware en tant que service (RaaS) qui est apparue au milieu de l’année 2025, utilisant un locker basé sur Go capable de crypter des systèmes Windows, Linux, NAS et BSD, ainsi qu’un locker en C pour les hyperviseurs ESXi.
Fin décembre dernier, Oltenia Energy Complex, l’un des plus grands fournisseurs d’énergie en Roumanie, a été compromis. Plus récemment, le groupe Adaptavist a signalé une violation de données que le ransomware avait exposée sur son site de fuite.
Bien que l’opération RaaS revendique environ 320 victimes, la plupart des attaques s’étant produites cette année, des chercheurs de Check Point ont noté que les affiliés du ransomware renforcent leur boîte à outils et leur infrastructure.
Lors d’un engagement d’analyse d’incidents, il a été révélé qu’un affilié tentait de déployer le malware proxy SystemBC pour une livraison discrète de charges utiles. Les chercheurs de Check Point ont observé des données télémétriques provenant d’un serveur de commande et de contrôle associé à SystemBC, mettant en lumière une botnet ciblant principalement des environnements d’entreprise.
SystemBC, présent depuis au moins 2019, est utilisé pour le tunneling SOCKS5. Sa capacité à délivrer des charges malveillantes a conduit à son adoption rapide par des groupes de ransomware. Bien qu’une opération des forces de l’ordre en 2024 ait porté atteinte à ce réseau, celui-ci reste actif, alimentant quotidiennement 1 500 serveurs privés virtuels commerciaux avec du trafic malveillant.
Les victimes liées au déploiement de Gentlemen et SystemBC sont principalement localisées aux États-Unis, au Royaume-Uni, en Allemagne, en Australie et en Roumanie.
Source : Check Point
Le serveur de commande et de contrôle utilisé pour la communication aurait contaminé un nombre considérable de victimes à travers le monde, majoritairement des sociétés. Cela s’explique par le fait que SystemBC est généralement implanté dans le cadre de flux d’intrusion opérés par des humains, plutôt que par des attaques massives.
Les chercheurs ignorent encore comment SystemBC s’intègre dans l’écosystème du ransomware Gentlemen, sans pouvoir confirmer si le malware est utilisé par plusieurs affiliés.
Chaîne d’infection et schéma de chiffrement
Bien qu’il soit impossible de déterminer le vecteur d’accès initial durant les attaques observées, les chercheurs affirment que l’acteur de la menace Gentlemen agissait depuis un contrôleur de domaine avec des privilèges d’administrateur. Ils procèdent à une reconnaissance des systèmes, vérifient les identifiants avant de déployer des charges Cobalt Strike via RPC.
Le mouvement latéral est soutenu par la collecte de données d’identification grâce à Mimikatz et l’exécution à distance. Les attaquants déploient le ransomware depuis un serveur interne et exploitent la propagation intégrée et les politiques de groupe pour déclencher l’exécution simultanée de l’encryptage sur les systèmes connectés au domaine.
Source : Check Point
Selon les chercheurs, le malware adopte un schéma hybride basé sur X25519 (Diffie-Hellman) et XChaCha20, avec une paire de clés éphémères générée pour chaque fichier. Les fichiers de moins de 1 Mo sont entièrement chiffrés, tandis que pour les fichiers plus volumineux, seul un pourcentage des données est crypété.
Avant le chiffrement, le ransomware s’attaque aux bases de données, aux logiciels de sauvegarde et aux processus de virtualisation, tout en supprimant les copies de sauvegarde et les journaux. La variante ESXi interrompt également les machines virtuelles pour garantir que les disques puissent être cryptés.
Source : Check Point
Bien que le ransomware Gentlemen ne fasse pas souvent l’objet de gros titres, Check Point signale une croissance rapide de l’opération RaaS, qui cherche à recruter de nouveaux affiliés à travers des forums clandestins. Les chercheurs estiment que l’utilisation de SystemBC avec Cobalt Strike, couplée à la botnet de 1 570 hôtes, suggère que le gang opère désormais à un niveau supérieur, intégrant activement un éventail plus large d’outils et d’infrastructures proxy.
Outre les indicateurs de compromission collectés à partir de l’incident analysé, Check Point fournit également des règles de détection basées sur des signatures pour aider les défenseurs à se protéger contre de telles attaques.