Underc0de - La Casa de los Informáticos

El ecosistema del ransomware continúa evolucionando hacia estructuras cada vez más organizadas, escalables y peligrosas. Una reciente investigación de Check Point revela que actores vinculados a la operación de ransomware como servicio (RaaS) The Gentlemen están utilizando el malware proxy SystemBC como parte de sus campañas, ampliando significativamente su alcance y sofisticación.

The Gentlemen y SystemBC: una combinación letal en ciberataques modernos

El grupo The Gentlemen ha emergido como uno de los actores más activos desde su aparición en 2025. Con más de 320 víctimas publicadas en su sitio de filtración, opera bajo el modelo de doble extorsión, donde no solo cifran datos, sino que también amenazan con filtrarlos si no se paga el rescate.

La incorporación de SystemBC en sus operaciones representa un salto cualitativo en sus capacidades. Este malware permite establecer túneles SOCKS5 dentro de los sistemas comprometidos, facilitando comunicaciones encubiertas con servidores de mando y control (C2) mediante cifrado RC4.

Botnet global: más de 1.570 víctimas comprometidas

Uno de los hallazgos más alarmantes del informe es la identificación de una botnet con más de 1.570 sistemas infectados vinculados a la infraestructura de SystemBC. Estas infecciones se distribuyen globalmente, afectando principalmente a organizaciones en:

• Estados Unidos
• Reino Unido
• Alemania
• Australia
• Rumanía

Esto demuestra que la operación no es localizada, sino una campaña global altamente coordinada.

¿Cómo funciona SystemBC en ataques de ransomware?

SystemBC no es un ransomware en sí, sino un facilitador clave dentro de la cadena de ataque. Sus principales funciones incluyen:

• Establecer túneles de red cifrados para ocultar tráfico malicioso
• Descargar y ejecutar cargas útiles adicionales
• Inyectar malware directamente en memoria para evadir detección
• Permitir acceso remoto persistente a los atacantes

Este enfoque modular permite a los operadores adaptar sus ataques según el entorno comprometido, aumentando su efectividad.

Cadena de ataque de The Gentlemen

Aunque el vector de acceso inicial no está completamente definido, los investigadores sugieren que los atacantes explotan:

• Servicios expuestos a internet
• Credenciales comprometidas

Una vez dentro, ejecutan una secuencia bien estructurada:

• Reconocimiento del entorno
• Movimiento lateral dentro de la red
• Preparación de herramientas (como Cobalt Strike y SystemBC)
• Desactivación de defensas
• Despliegue del ransomware

Un aspecto especialmente preocupante es el uso de Objetos de Política de Grupo (GPOs) para facilitar ataques a nivel de dominio, lo que permite comprometer múltiples sistemas de forma simultánea.

Técnicas avanzadas de evasión

Durante el movimiento lateral, los atacantes emplean scripts de PowerShell para desactivar mecanismos de seguridad en sistemas Windows. Entre las acciones detectadas se incluyen:

• Desactivación de Windows Defender
• Eliminación de monitoreo en tiempo real
• Configuración de exclusiones amplias en disco
• Desactivación del firewall
• Activación de SMB1 (protocolo inseguro)
• Relajación de controles de acceso

Estas técnicas permiten operar sin ser detectados durante fases críticas del ataque.

Ataques a entornos virtualizados: ESXi y más allá

The Gentlemen también ha desarrollado variantes específicas para entornos virtualizados, incluyendo sistemas ESXi. Estas versiones:

• Apagan máquinas virtuales para maximizar impacto
• Establecen persistencia mediante crontab
• Inhiben mecanismos de recuperación

Aunque menos complejas que las versiones de Windows, son altamente efectivas en infraestructuras empresariales.

La escala real del ransomware: más allá de lo visible

Según expertos de Check Point, la magnitud real de la operación es mucho mayor de lo que se reporta públicamente. Durante el análisis de servidores vinculados al grupo, se identificaron cientos de redes comprometidas que aún no habían sido divulgadas.

Esto sugiere que muchas organizaciones permanecen comprometidas sin saberlo, lo que amplía el riesgo global.

Nuevas amenazas: el caso de Kyber

En paralelo, investigadores han identificado otra familia emergente: Kyber, que apunta a sistemas Windows y entornos VMware.

Este ransomware destaca por:

• Uso de lenguajes como Rust y C++
• Capacidad para cifrar almacenamiento en entornos virtuales
• Terminación de máquinas virtuales
• Ataques a infraestructuras Hyper-V

Aunque no es extremadamente sofisticado, su enfoque práctico lo hace altamente destructivo.

Tendencias del ransomware en 2026

Datos de ZeroFox revelan que en el primer trimestre de 2026 se registraron más de 2.059 incidentes de ransomware, con marzo alcanzando 747 casos.

Entre los grupos más activos destacan:

• Qilin
• Akira
• The Gentlemen
• Cl0p

Un dato interesante es la variabilidad geográfica de The Gentlemen, que no sigue patrones tradicionales de segmentación regional.

La evolución del ransomware como industria

El informe de Halcyon destaca que el ransomware se ha convertido en un ecosistema industrializado, caracterizado por:

• Especialización de roles (desarrolladores, afiliados, operadores)
• Infraestructura compartida
• Rebranding constante para evadir autoridades

Además, se observa una tendencia hacia ataques más rápidos: el tiempo desde la intrusión hasta el cifrado completo se ha reducido de días a horas.

Por ejemplo, ataques del grupo Akira han logrado cifrar sistemas completos en menos de una hora.

Técnicas emergentes en ciberataques

Entre las tácticas más relevantes destacan:

• BYOVD (Bring Your Own Vulnerable Driver) para escalar privilegios
• Ataques dirigidos a soluciones EDR
• Enfoque en pequeñas y medianas empresas
• Incremento de ataques a entornos OT

Además, el 69% de los ataques se ejecutan durante noches y fines de semana, aprovechando la menor capacidad de respuesta.

Una amenaza cada vez más sofisticada

La integración de herramientas como SystemBC en operaciones de ransomware demuestra que los atacantes están adoptando estrategias cada vez más complejas y coordinadas. The Gentlemen no solo representa una amenaza por su volumen de ataques, sino por su capacidad de adaptación y expansión.

Las organizaciones deben asumir que el ransomware ya no es una amenaza aislada, sino un modelo de negocio criminal altamente eficiente, que evoluciona constantemente para maximizar impacto y ganancias.

Recomendaciones clave

Para mitigar estos riesgos, es fundamental:

• Implementar autenticación multifactor
• Monitorizar accesos remotos y servicios expuestos
• Aplicar parches de seguridad regularmente
• Segmentar redes críticas
• Realizar copias de seguridad offline

La prevención, detección temprana y respuesta rápida son esenciales en un entorno donde cada minuto cuenta.

Fuente: https://thehackernews.com/