“绅士” 勒索软件借助 SystemBC 发动僵尸网络攻击

“绅士” 勒索软件即服务（RaaS）运营活动于 2025 年年中左右出现，提供一款基于 Go 语言的加密程序，可对 Windows、Linux、网络附属存储（NAS）和 BSD 系统进行加密，以及一款基于 C 语言的针对 ESXi 虚拟机管理程序的加密程序。

去年 12 月，该勒索软件攻击了罗马尼亚最大的能源供应商之一 —— 奥尔泰尼亚能源综合体。本月初，Adaptavist 集团披露了一起数据泄露事件，“绅士” 勒索软件已将相关信息发布在其数据泄露网站上。

尽管该 RaaS 运营活动公开宣称约有 320 名受害者，且大多数攻击发生在今年，但 Check Point 研究人员发现，“绅士” 勒索软件团伙成员正在扩充其攻击工具包和基础设施。

在一次事件响应行动中，研究人员发现该勒索软件运营活动的一名成员试图部署代理恶意软件，以秘密交付有效载荷。

研究人员在今日发布的一份报告中指出：“Check Point Research 观察到来自相关 SystemBC 命令与控制服务器的受害者遥测数据，显示存在一个由超过 1570 名受害者组成的僵尸网络。感染特征强烈表明，攻击重点是企业和组织环境，而非随机针对普通用户。”

SystemBC 至少从 2019 年就已存在，用于 SOCKS5 隧道代理。由于它能够交付恶意有效载荷，很快就被勒索软件团伙采用。尽管 2024 年的一次执法行动对其产生了影响，但该僵尸网络仍在活动。去年，黑莲花实验室报告称，它每天感染 1500 台商业虚拟专用服务器（VPS），以传输恶意流量。

据 Check Point 称，与 “绅士” 勒索软件部署 SystemBC 相关的受害者大多位于美国、英国、德国、澳大利亚和罗马尼亚。

Check Point 表示：“用于通信的特定命令与控制服务器已感染全球大量受害者。鉴于 SystemBC 通常作为人为操作的入侵工作流程的一部分进行部署，而非大规模随机攻击，这些受害者很可能大多数是公司和组织。”

研究人员不确定 SystemBC 在 “绅士” 勒索软件生态系统中的具体作用，也无法确定该恶意软件是否被多个团伙成员使用。

尽管 Check Point 无法确定所观察到的攻击中的初始访问途径，但研究人员表示，“绅士” 威胁行为者是通过具有域管理员权限的域控制器进行操作的。

从那里，攻击者检查哪些凭据可用，并在通过远程过程调用（RPC）向远程系统部署 Cobalt Strike 有效载荷之前进行侦察。

攻击者利用 Mimikatz 进行凭据收集，并通过远程执行实现横向移动。他们从内部服务器部署勒索软件，并利用内置的传播功能和组策略（GPO），在加入域的系统上几乎同时触发加密程序的执行。

据研究人员称，该恶意软件采用基于 X25519（迪菲 – 赫尔曼密钥交换）和 XChaCha20 的混合加密方案，为每个文件生成一个随机临时密钥对。

小于 1MB 的文件会被完全加密，而较大文件仅约 9%、3% 或 1% 的数据块会被加密。

在加密之前，“绅士” 勒索软件会终止数据库、备份软件和虚拟化进程，并删除卷影副本和日志。ESXi 版本还会关闭虚拟机，以确保磁盘可以被加密。

“绅士” 勒索软件并不常成为头条新闻，但 Check Point 警告称，该 RaaS 运营活动正在迅速发展，通过地下论坛招募新的勒索软件团伙成员。

研究人员认为，结合使用 SystemBC、Cobalt Strike 以及由 1570 台主机组成的僵尸网络，可能表明 “绅士” 勒索软件团伙如今的运作水平有所提升，“积极融入成熟的、利用后的框架和代理基础设施组成的更广泛工具链”。

除了从调查事件中收集的入侵指标（IoCs）外，Check Point 还以 YARA 规则的形式提供基于签名的检测方法，帮助安全防御人员防范此类攻击。