Šta se desilo?

Istraživanjem je otkriveno da grupi napadača iza Gentlemen ransomware-a stoji botneta sa više od 1.570 zaraženih računara, najvećim delom korporativnih sistema. Napadi koriste SystemBC proxy malware koji omogućava napadačima lakše koordinovanje i izvršavanje distribuiranih napada na veće mete.

Koga pogađa?

Ova kampanja posebno ugrožava srednje i velike korporativne organizacije. Činjenica da većina zaraženih hostova pripada poslovnim mrežama ukazuje da su napadi ciljano usmereni prema kompanijama sa visokim potencijalom za plaćanje otkupa.

Kako se zaštititi?

  • Redovno ažurirajte sve sisteme i aplikacije na patch-eve bezbednosti
  • Implementirajte network segmentaciju da ograničite lateralno kretanje u slučaju kompromitovanja
  • Koristite endpoint protection sa mogućnošću detekcije botnet ponašanja
  • Monitoring mrežnog prometa - tražite sumnjive konekcije ka proxy serverima
  • Održavajte offline bekape važnih podataka i regularno testujte mogućnost oporavka
  • Treniranje zaposlenih za prepoznavanje phishing napada kao početnog vektora infiltracije

Tehnički detalji

SystemBC je proxy malware poznat po svojoj upotrebi u ransomware kampanjama kao infrastrukturna komponenta. Botneta od više od 1.570 zaraženih čvorova omogućava napadačima da maskira svoje postojanje iza distribuirane mreže, čime otežava praćenje i geolokaciski identifikovanje izvora napada. Gentlemen ransomware grupa koristi ovaj tip infrastrukture za koordinovanje napada velikog obima sa minimalnim rizikom od otkrivanja.

Preporuka Sajber Radara

Korporativne organizacije trebaju odmah da provere svoje sisteme za znakove SystemBC malware-a i da pojačaju monitoring mrežnog prometa. S obzirom na organizovanu prirodu ove kampanje i veliki broj zaraženih sistema, rizik od dodatnih napada je značajan i zahteva hitnu akciju.