A nova geração de ataques de ransomware está mais automatizada, silenciosa e escalável do que nunca. O Ransomware Gentlemen é um exemplo claro dessa evolução, combinando criptografia avançada com infraestrutura baseada em botnets para ampliar seu alcance em ambientes corporativos.
Pesquisadores da Check Point Research identificaram que o grupo por trás da ameaça passou a utilizar a botnet SystemBC, composta por cerca de 1.570 hosts comprometidos, para distribuir ataques de forma coordenada. O foco principal são infraestruturas empresariais, especialmente servidores críticos.
Originalmente detectado em 2025, o Ransomware Gentlemen evoluiu rapidamente, incorporando novas técnicas e ampliando sua capacidade multiplataforma, tornando-se uma ameaça relevante para sistemas Linux e ambientes virtualizados como o ESXi.
O que é o SystemBC e como ele potencializa o ataque
O SystemBC é um malware conhecido por atuar como proxy e facilitador de comunicação entre máquinas infectadas e servidores de comando e controle (C2). Ele utiliza tunelamento via SOCKS5, permitindo que operadores de ransomware escondam sua origem e mantenham persistência nas redes comprometidas.
Essa abordagem traz vantagens estratégicas para os atacantes, como anonimato reforçado, maior resiliência contra bloqueios e capacidade de movimentação lateral dentro da rede.
Automação por botnets: como o grupo escala os ataques
Ao integrar o SystemBC ao Ransomware Gentlemen, os operadores conseguem automatizar diversas etapas do ataque. Isso inclui reconhecimento de rede, exploração de vulnerabilidades e distribuição do payload.
Essa automação permite que ataques sejam executados simultaneamente em múltiplas organizações, reduzindo o esforço manual e aumentando significativamente o impacto global da campanha.
Anatomia do ataque: do Linux ao VMware ESXi
Uma das características mais preocupantes do Ransomware Gentlemen é sua capacidade multiplataforma. O malware foi desenvolvido utilizando linguagens como Go e C, o que facilita sua adaptação para diferentes sistemas operacionais, incluindo Linux, Windows e BSD.
Além disso, há uma variante específica voltada para ambientes virtualizados, especialmente o ESXi, amplamente utilizado em data centers corporativos. Ao comprometer esse tipo de infraestrutura, os atacantes conseguem afetar múltiplas máquinas virtuais de uma só vez.
Esquema de criptografia híbrida
O processo de criptografia utilizado pelo Ransomware Gentlemen combina técnicas modernas para garantir eficiência e segurança.
O malware utiliza o algoritmo X25519 para troca de chaves assimétricas e o XChaCha20 para criptografia de arquivos. Esse modelo híbrido dificulta a recuperação de dados sem acesso à chave privada dos atacantes, tornando os backups a única alternativa viável em muitos casos.
Impacto global e alvos corporativos
A campanha do Ransomware Gentlemen já atingiu diversas regiões, com maior concentração de ataques em países da Europa e América do Norte. No entanto, o alcance global da botnet indica que nenhuma região está fora de risco.
Um dos casos mais notáveis envolveu o Complexo Energético Oltenia, onde a interrupção causada pelo ataque evidenciou o potencial destrutivo dessa operação, especialmente em setores críticos como energia e infraestrutura.
Organizações com ambientes híbridos, servidores expostos e políticas de segurança frágeis são os principais alvos, especialmente aquelas que utilizam virtualização intensiva.
Como se proteger contra o ransomware Gentlemen
A defesa contra o Ransomware Gentlemen exige uma abordagem proativa e multicamadas. Monitorar atividades suspeitas em controladores de domínio e proteger credenciais administrativas são medidas essenciais para reduzir o risco de comprometimento.
Além disso, é fundamental implementar políticas rigorosas de atualização, segmentação de rede e backups offline. A detecção precoce de atividades relacionadas ao SystemBC pode ser decisiva para interromper o ataque antes da fase de criptografia.
Reforçar o hardening de servidores Linux e ambientes ESXi também é uma prática indispensável. Investir em auditorias regulares e ferramentas de detecção avançada pode fazer a diferença entre conter um incidente ou enfrentar um desastre operacional.
Para aprofundar sua proteção, vale a pena explorar outros guias de segurança e endurecimento disponíveis no Sempre Update, especialmente voltados para ambientes corporativos e infraestrutura crítica.
