{"id":624,"date":"2026-04-21T20:11:18","date_gmt":"2026-04-21T20:11:18","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/21\/el-servidor-systembc-c2-revela-mas-de-1570-victimas-en-la-operacion-the-gentlemen-ransomware-cyberdefensa-mx\/"},"modified":"2026-04-21T20:11:18","modified_gmt":"2026-04-21T20:11:18","slug":"el-servidor-systembc-c2-revela-mas-de-1570-victimas-en-la-operacion-the-gentlemen-ransomware-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/21\/el-servidor-systembc-c2-revela-mas-de-1570-victimas-en-la-operacion-the-gentlemen-ransomware-cyberdefensa-mx\/","title":{"rendered":"El servidor SystemBC C2 revela m\u00e1s de 1570 v\u00edctimas en la operaci\u00f3n The Gentlemen Ransomware \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado que los actores de amenazas asociados con la operaci\u00f3n The Gentlemen ransomware-as-a-service (RaaS) intentan implementar un conocido malware proxy llamado SystemBC.<\/p>\n

De acuerdo a nueva investigaci\u00f3n<\/a> Publicado por Check Point, el servidor de comando y control (C2 o C&C) vinculado a SystemBC ha llevado al descubrimiento de una botnet con m\u00e1s de 1.570 v\u00edctimas.<\/p>\n

\u00abSystemBC establece t\u00faneles de red SOCKS5 dentro del entorno de la v\u00edctima y se conecta a su servidor C&C utilizando un protocolo cifrado RC4 personalizado\u00bb, dijo Check Point. Tambi\u00e9n puede descargar y ejecutar malware adicional, con cargas \u00fatiles escritas en el disco o inyectadas directamente en la memoria.<\/p>\n

Desde su aparici\u00f3n en julio de 2025, The Gentlemen se ha establecido r\u00e1pidamente como uno de los grupos de ransomware m\u00e1s prol\u00edficos, cobr\u00e1ndose m\u00e1s de 320 v\u00edctimas en su sitio de filtraci\u00f3n de datos. Operando bajo un modelo cl\u00e1sico de doble extorsi\u00f3n, el grupo es tan vers\u00e1til como sofisticado, exhibiendo capacidades para apuntar a sistemas Windows, Linux, NAS y BSD con un casillero basado en Go, adem\u00e1s de emplear conductores leg\u00edtimos<\/a> y herramientas maliciosas personalizadas para subvertir las defensas.<\/p>\n

No est\u00e1 claro exactamente c\u00f3mo los actores de amenazas obtienen acceso inicial, aunque la evidencia sugiere que se est\u00e1 abusando de los servicios de Internet o de las credenciales comprometidas para establecer un punto de apoyo inicial, seguido de la participaci\u00f3n en el descubrimiento, el movimiento lateral, la puesta en escena de la carga \u00fatil (es decir, Cobalt Strike, SystemBC y el cifrador), la evasi\u00f3n de defensa y la implementaci\u00f3n de ransomware. Un aspecto notable de los ataques es el abuso de los objetos de pol\u00edtica de grupo (GPO) para facilitar el compromiso de todo el dominio.<\/p>\n

\u00abAl adaptar sus t\u00e1cticas contra proveedores de seguridad espec\u00edficos, The Gentlemen ha demostrado una gran conciencia de los entornos de sus objetivos y una voluntad de participar en un reconocimiento profundo y modificaci\u00f3n de herramientas durante el curso de su operaci\u00f3n\u00bb, dijo el proveedor de seguridad Trend Micro. anotado<\/a> en un an\u00e1lisis del oficio del grupo en septiembre de 2025.<\/p>\n

Los \u00faltimos hallazgos de Check Point muestran que un afiliado de The Gentlemen RaaS implement\u00f3 SystemBC en un host comprometido, con el servidor C2 vinculado al malware proxy que se apoder\u00f3 de cientos de v\u00edctimas en todo el mundo, incluidos EE. UU., Reino Unido, Alemania, Australia y Rumania.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Si bien SystemBC se ha utilizado en operaciones de ransomware desde 2020, la naturaleza exacta de la conexi\u00f3n entre el malware y el esquema de delito electr\u00f3nico de The Gentlemen a\u00fan no est\u00e1 clara, por ejemplo, si es parte del manual de ataque o si es algo implementado por un afiliado espec\u00edfico para la exfiltraci\u00f3n de datos y el acceso remoto.<\/p>\n

\u00abDurante el movimiento lateral, el ransomware intenta cegar a Windows Defender en cada host remoto accesible al impulsar un script de PowerShell que deshabilita el monitoreo en tiempo real, agrega amplias exclusiones para la unidad, el recurso compartido de preparaci\u00f3n y su propio proceso, apaga el firewall, vuelve a habilitar SMB1 y afloja los controles de acceso an\u00f3nimo de LSA, todo antes de implementar y ejecutar el binario del ransomware en ese host\u00bb, dijo Check Point.<\/p>\n

La variante ESXi incorpora menos funcionalidades que la variante de Windows, pero est\u00e1 equipada para apagar m\u00e1quinas virtuales para mejorar la efectividad del ataque, agrega persistencia a trav\u00e9s de crontab e inhibe la recuperaci\u00f3n antes de que se implemente el binario del ransomware.<\/p>\n

\u00abLa mayor\u00eda de los grupos de ransomware hacen ruido cuando se inician y luego desaparecen. Los Gentlemen son diferentes\u00bb, dijo Eli Smadja, gerente de grupo de Check Point Research, en un comunicado compartido con The Hacker News.<\/p>\n

\u00abHan solucionado el problema de reclutamiento de afiliados al ofrecer un mejor trato que cualquier otra persona en el ecosistema criminal. Cuando ingresamos a uno de los servidores de su operador, encontramos m\u00e1s de 1,570 redes corporativas comprometidas que ni siquiera hab\u00edan aparecido en las noticias todav\u00eda. La escala real de esta operaci\u00f3n es significativamente mayor de lo que se conoce p\u00fablicamente, y sigue creciendo\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

Los hallazgos se producen cuando Rapid7 destac\u00f3 el funcionamiento interno de otra familia de ransomware relativamente nueva llamada Kyber<\/a> que surgi\u00f3 en septiembre de 2025, dirigido a infraestructuras Windows y VMware ESXi utilizando cifradores desarrollados en Rust y C++, respectivamente.<\/p>\n

\u00abLa variante ESXi est\u00e1 dise\u00f1ada espec\u00edficamente para entornos VMware, con capacidades de cifrado de almacenes de datos, terminaci\u00f3n opcional de m\u00e1quinas virtuales y alteraci\u00f3n de interfaces de gesti\u00f3n\u00bb, dijo la empresa de ciberseguridad. dicho<\/a>. \u00abLa variante de Windows, escrita en Rust, incluye una caracter\u00edstica ‘experimental’ que \u00e9l mismo describe para apuntar a Hyper-V\u00bb.<\/p>\n

\u00abKyber ransomware no es una obra maestra de c\u00f3digo complejo, pero es muy eficaz a la hora de causar destrucci\u00f3n. Refleja un cambio hacia la especializaci\u00f3n sobre la sofisticaci\u00f3n\u00bb.<\/p>\n

Seg\u00fan los datos compilados por ZeroFox, en el primer trimestre de 2026 se observaron al menos 2.059 incidentes distintos de ransomware y extorsi\u00f3n digital (I+DE), y en marzo se registraron no menos de 747 incidentes. Los grupos m\u00e1s activos durante el per\u00edodo fueron Qilin (338), Akira (197), The Gentlemen (192), INC Ransom y Cl0p.<\/p>\n

\u00abEn particular, las v\u00edctimas con sede en Am\u00e9rica del Norte representaron aproximadamente el 20 por ciento de los ataques de The Gentlemen en el tercer trimestre de 2025, el 2% en el cuarto trimestre de 2025 y el 13% en el primer trimestre de 2026\u00bb, ZeroFox. dicho<\/a>. \u00abEsto va en gran medida en contra de las tendencias t\u00edpicas de ataques regionales por parte de otros colectivos de I+D, de los cuales al menos el 50 por ciento son v\u00edctimas de Am\u00e9rica del Norte\u00bb.<\/p>\n

La velocidad cambiante de los ataques de ransomware<\/h3>\n

La empresa de ciberseguridad Halcyon, en su Informe de evoluci\u00f3n del ransomware 2025<\/a>revel\u00f3 que la amenaza contin\u00faa madurando hasta convertirse en algo m\u00e1s disciplinado y una empresa criminal impulsada por los negocios, incluso cuando los ataques de ransomware dirigidos a la industria automotriz m\u00e1s del doble en 2025<\/a>representando el 44% de todos los incidentes cibern\u00e9ticos en todo el sector.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Otras tendencias importantes incluyen intentos de perjudicar las herramientas de seguridad de detecci\u00f3n y respuesta de endpoints (EDR), el uso de la t\u00e9cnica de ataque Bring Your Own Vulnerable Driver (BYOVD) para escalar privilegios y deshabilitar soluciones de seguridad, desdibujar las campa\u00f1as de ransomware criminales y de los estados nacionales, y aumentar los ataques a organizaciones peque\u00f1as y medianas y a entornos de tecnolog\u00eda operativa (OT).<\/p>\n

\u00abEl ransomware continu\u00f3 creciendo como un ecosistema industrializado duradero construido sobre la especializaci\u00f3n, la infraestructura compartida y la r\u00e1pida regeneraci\u00f3n en lugar de una sola marca\u00bb, dijo. \u00abLa presi\u00f3n de las fuerzas del orden y las incautaciones de infraestructura interrumpieron operaciones importantes, generando fragmentaci\u00f3n, cambios de marca e intensificaci\u00f3n de la competencia en un panorama m\u00e1s fluido\u00bb.<\/p>\n

Las operaciones de ransomware son cada vez m\u00e1s r\u00e1pidas y los tiempos de permanencia se reducen de d\u00edas a horas. Se ha descubierto que alrededor del 69% de los intentos de ataque observados se realizaron deliberadamente durante las noches y los fines de semana para superar la respuesta de los defensores.<\/p>\n

Por ejemplo, los ataques que involucran el ransomware Akira han demostrado<\/a> una rapidez inusual, escalando r\u00e1pidamente desde el punto de apoyo inicial hasta el cifrado completo en una hora en algunos casos sin detecci\u00f3n, lo que destaca un motor de ataque bien engrasado dise\u00f1ado para maximizar el impacto.<\/p>\n

\u00abLa combinaci\u00f3n de Akira de capacidades de compromiso r\u00e1pido, ritmo operativo disciplinado e inversi\u00f3n en infraestructura de descifrado confiable lo distingue de muchos operadores de ransomware\u00bb, dijo Halcyon. \u00abLos defensores deber\u00edan tratar a Akira no como una amenaza oportunista, sino como un adversario capaz y persistente que explotar\u00e1 cada debilidad disponible para alcanzar su objetivo\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se ha observado que los actores de amenazas asociados con la operaci\u00f3n The Gentlemen ransomware-as-a-service (RaaS) intentan implementar un conocido malware proxy llamado SystemBC. De acuerdo a nueva investigaci\u00f3n Publicado por Check Point, el servidor de comando y control (C2 o C&C) vinculado a SystemBC ha llevado al descubrimiento de una botnet con m\u00e1s de […]<\/p>\n","protected":false},"author":1,"featured_media":585,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,1987,98,461,508,131,943,1985,1986],"class_list":["post-624","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-gentlemen","tag-mas","tag-operacion","tag-ransomware","tag-revela","tag-servidor","tag-systembc","tag-victimas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/624","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=624"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/624\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/585"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=624"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=624"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=624"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}