Botnet de The Gentlemen al descubierto: Servidor C2 de SystemBC revela más de 1.570 víctimas en campaña global de ransomware

Un examen forense exhaustivo de un servidor crítico de comando y control (C2) ha expuesto la escala operativa asombrosa del sindicato de ransomware The Gentlemen, descubriendo una botnet de más de 1.570 sistemas víctimas bajo su control. Este descubrimiento, derivado del análisis de la infraestructura de malware SystemBC del grupo, transforma nuestra comprensión de la amenaza: de una operación de ransomware típica a una red de acceso persistente a gran escala con alcance global.

La investigación se centró en un servidor C2 de SystemBC, un componente crucial en el arsenal del grupo. SystemBC no es ransomware en sí mismo, sino una familia de malware sofisticada que actúa como una puerta trasera modular y un proxy SOCKS5. Su función principal es establecer un canal de comunicación encubierto entre los endpoints infectados y la infraestructura de los atacantes, facilitando el acceso remoto, la exfiltración de datos y el despliegue de cargas útiles secundarias, como el ransomware. Al analizar este servidor, los investigadores pudieron mapear toda la red de máquinas comprometidas que se conectaban, revelando el recuento real de víctimas y su distribución geográfica.

Los datos muestran una huella de víctimas concentrada en Norteamérica y Europa Occidental, con agrupaciones significativas en Estados Unidos, Canadá, Reino Unido y Alemania. La victimología abarca múltiples sectores, incluyendo manufactura, servicios profesionales, tecnología y salud, lo que indica una estrategia de targeting amplia y oportunista en lugar de una campaña focalizada. La cifra de más de 1.570 representa bots activos y en comunicación en el momento del análisis, lo que sugiere que el número total de organizaciones vulneradas inicialmente podría ser aún mayor.

Esta revelación proporciona evidencia concreta del giro estratégico de The Gentlemen que los investigadores de seguridad habían hipotetizado previamente. El grupo ha evolucionado de un proveedor simple de Ransomware-as-a-Service (RaaS) a un operador que aprovecha una botnet masiva. Esta botnet proporciona una infraestructura resiliente para el reconocimiento, el movimiento lateral y los ataques sincronizados. Permite a los afiliados mantener acceso a largo plazo a las redes, estudiar los procesos empresariales—potencialmente para adaptar los ataques y maximizar la disrupción—y ejecutar detonaciones de ransomware en múltiples sistemas simultáneamente para aumentar la presión durante la extorsión.

El uso de SystemBC es una conclusión técnica clave para los defensores. Su capacidad de proxy SOCKS5 permite a los atacantes enrutar el tráfico a través de víctimas infectadas, oscureciendo el origen de la actividad maliciosa y complicando los esfuerzos de atribución y bloqueo. La detección requiere un enfoque en las anomalías del tráfico de red, específicamente buscando conexiones a IPs y dominios C2 de SystemBC conocidos, y tráfico inusual de proxy SOCKS5 que emane de estaciones de trabajo o servidores internos.

El alto impacto de esta amenaza no puede subestimarse. Para la comunidad de ciberseguridad, esto representa una maduración del ecosistema del ransomware. Los actores de amenazas ya no solo despliegan malware de cifrado; están construyendo y manteniendo infraestructuras extensas, al estilo de las botnets, para aumentar la eficiencia, el impacto y la rentabilidad de sus campañas. Difumina las líneas entre las botnets tradicionales, las amenazas persistentes avanzadas (APT) y los grupos de ransomware.

La defensa organizacional debe adaptarse en consecuencia. Más allá de la preparación estándar contra ransomware—como copias de seguridad robustas y protección de endpoints—ahora existe una necesidad crítica de un monitoreo de red mejorado para detectar las comunicaciones C2 furtivas y el movimiento lateral que preceden a un evento de ransomware. Los ejercicios de búsqueda de amenazas (threat hunting) deben incluir indicadores de compromiso (IoC) asociados con SystemBC y kits de herramientas de acceso remoto similares. Además, este modelo sugiere que incluso si se paga un rescate, el acceso persistente concedido por la botnet puede permanecer, dejando a la víctima vulnerable a futuros ataques o filtraciones de datos.

En conclusión, la exposición de la botnet de 1.570 víctimas de The Gentlemen a través de su servidor C2 de SystemBC es un momento decisivo en la inteligencia sobre ransomware. Confirma la tendencia hacia operaciones más complejas y con gran infraestructura, y sirve como una advertencia severa sobre el acceso silencioso y persistente que puede existir dentro de las redes mucho antes de que se despliegue la carga útil de ransomware. La búsqueda proactiva de balizas C2 y malware proxy se ha vuelto tan importante como defender el evento de cifrado en sí.