Penyelidikan terbaru terhadap serangan ransomware Gentlemen mengungkap fakta yang mengkhawatirkan: afiliasi dari geng kejahatan siber ini kini memanfaatkan botnet malware proxy SystemBC. Peneliti keamanan menemukan bahwa botnet tersebut telah menginfeksi lebih dari 1.570 inang (hosts), yang sebagian besar diyakini merupakan jaringan tingkat perusahaan atau organisasi.
Beroperasi sebagai layanan Ransomware-as-a-Service (RaaS) sejak pertengahan tahun 2025, Gentlemen menawarkan pengunci (locker) berbasis bahasa Go yang dapat mengenkripsi sistem Windows, Linux, NAS, dan BSD, serta pengunci berbasis C yang dirancang khusus untuk hypervisor ESXi.
Kelompok ini telah mengklaim sekitar 320 korban, termasuk peretasan pada The Adaptavist Group awal bulan ini dan Oltenia Energy Complex (salah satu penyedia energi terbesar di Rumania) pada Desember lalu.
Integrasi Botnet SystemBC
Temuan dari para peneliti di Check Point Research menunjukkan bahwa afiliasi ransomware Gentlemen sedang secara agresif memperluas perangkat dan infrastruktur serangan mereka. Selama proses respons insiden, tim peneliti memergoki upaya afiliasi untuk menyebarkan malware proxy SystemBC guna mengirimkan muatan (payload) secara sembunyi-sembunyi.
- Fokus pada Korban Korporat: Telemetri dari server komando dan kontrol (C2) SystemBC terkait mengungkap botnet dengan lebih dari 1.570 korban. Profil infeksi menunjukkan bahwa mereka sangat berfokus pada lingkungan perusahaan, alih-alih penargetan konsumen yang oportunistik.
- Fungsi SystemBC: Telah ada setidaknya sejak 2019, malware ini digunakan untuk pembuatan terowongan (tunneling) SOCKS5. Kemampuannya untuk memasukkan muatan berbahaya ke sistem yang terinfeksi membuatnya dengan cepat diadopsi oleh geng ransomware.
- Sebaran Geografis: Menurut Check Point, sebagian besar korban yang terkait dengan penerapan SystemBC oleh kelompok Gentlemen berlokasi di Amerika Serikat, Inggris, Jerman, Australia, dan Rumania.
Rantai Serangan dan Taktik Enkripsi
Meskipun vektor akses awal dalam serangan yang diamati belum dapat ditentukan secara pasti, peneliti mengungkap bahwa aktor ancaman beroperasi langsung dari Domain Controller dengan hak istimewa Domain Admin.
- Pergerakan Lateral: Penyerang menggunakan alat seperti Mimikatz untuk memanen kredensial (credential harvesting). Mereka juga melakukan pengintaian sebelum menyebarkan muatan Cobalt Strike ke sistem jarak jauh melalui RPC.
- Eksekusi Massal: Penyerang menyiapkan ransomware dari server internal dan memanfaatkan penyebaran bawaan serta Kebijakan Grup (Group Policy/GPO) untuk memicu eksekusi enkripsi yang hampir bersamaan di seluruh sistem yang tergabung dalam domain.
- Skema Enkripsi Canggih: Malware ini menggunakan skema hibrida berdasarkan X25519 (Diffie–Hellman) dan XChaCha20. Pasangan kunci epemeral acak dihasilkan untuk setiap fail. Fail di bawah 1 MB dienkripsi sepenuhnya, sementara untuk fail yang lebih besar, hanya potongan data sekitar 9%, 3%, atau 1% yang dienkripsi.
- Sabotase Sistem: Sebelum melakukan enkripsi, ransomware mematikan basis data, perangkat lunak pencadangan, proses virtualisasi, serta menghapus salinan bayangan (Shadow copies) dan log pemantauan. Varian ESXi bahkan mematikan mesin virtual (VM) untuk memastikan disk dapat dienkripsi.
Ancaman yang Semakin Matang
Meskipun ransomware Gentlemen jarang menjadi berita utama dibandingkan kelompok besar lainnya, Check Point memperingatkan bahwa operasi RaaS ini berkembang pesat dan aktif beriklan untuk merekrut afiliasi baru di forum-forum bawah tanah.
Penggunaan SystemBC yang dikombinasikan dengan Cobalt Strike dan botnet skala besar mengindikasikan bahwa geng Gentlemen kini beroperasi pada level yang jauh lebih tinggi. Mereka secara aktif berintegrasi ke dalam rantai alat pasca-eksploitasi dan infrastruktur proxy yang sangat matang. Untuk membantu administrator bertahan dari ancaman ini, Check Point telah menyediakan deteksi berbasis tanda tangan dalam bentuk aturan YARA.