Világszerte terjed, főként cégeket célozva
A Gentlemen zsarolóvírus 2025 közepe óta működik szolgáltatásként igénybe vehető modellben, titkosítóprogramja számos rendszeren fut: Windows, Linux, NAS, BSD operációs rendszereken, valamint ESXi virtualizációs szervereken is. Legutóbb a román Oltenia Energetikai Komplexum is áldozatul esett, és az ellopott adatokat feltöltötték a zsarolóoldalukra. Továbbra is főként az Egyesült Államokban, az Egyesült Királyságban, Németországban, Ausztráliában és Romániában vannak áldozataik.
Mi is az a SystemBC és hogyan működik?
A SystemBC egy proxy trójai program, amelyet eredetileg SOCKS5-alapú alagút létrehozására használtak, de hamar kiderült, hogy különböző kártékony programok bejuttatására is kiváló, így meghatározó szerepet kapott a támadóláncban. Bár 2024-ben súlyos csapás érte ezt a botnetet, csúcsidőszakában naponta mintegy 1 500 kereskedelmi VPS-t fertőzött meg, főként vállalati környezetekben, ahol a támadások célzottak, nem pedig tömegesek.
Professzionális támadási lánc, összetett védelem
Nem kizárt, hogy a Gentlemen zsarolóvírus fejlesztői egészen magas szinten űzik a szakmát. Hálózati jogosultságokat szereznek, majd távolról Cobalt Strike kártevőt telepítenek, amely mellett a Mimikatz-cel belső jogosultságokat és jelszavakat próbálnak megszerezni. A zsarolóvírust a saját szerverükről osztják szét, majd a rendszerbe beépített csoportházirendekkel szinte egyszerre indítják el az egész hálózaton a titkosítást.
A titkosító rutin hibrid: minden fájlhoz véletlenszerű kulcspárt generál, és az X25519/XChaCha20-t alkalmaz. Az 1 MB-nál kisebb fájlokat teljesen, a nagyobbakat 9%, 3% vagy 1%-ban kódolja. Mielőtt munkához lát, leállítja az adatbázisokat, biztonsági mentéseket, virtuális gépeket, valamint eltávolítja az árnyékmásolatokat és a naplókat.
Folyamatos fejlesztés, egyre erősebb védelmi kihívás
Továbbra is terjed a Gentlemen, új tagokat toboroz alvilági fórumokon, miközben a komplex támadási lánccal – SystemBC, Cobalt Strike, botnetes infrastruktúra – a védelmi rendszereket is komoly kihívás elé állítja. Az észlelt támadások ellen a kutatók YARA-alapú szűréssel és kompromittálódási indikátorokkal igyekszenek védekezni, de a támadási technikák gyors fejlődése miatt a vállalatoknak fokozott éberségre van szükségük.
