SystemBC Ungkap Lebih dari 1.570 Korban Operasi Ransomware The Gentlemen

Server command-and-control (C2) dari malware proxy SystemBC telah mengungkap lebih dari 1.570 korban yang terkait dengan operasi ransomware The Gentlemen sejak Juli 2025. Penemuan ini menunjukkan bagaimana kelompok ransomware ini terus memperluas skala serangannya secara signifikan.

Penggunaan SystemBC dalam Operasi Ransomware The Gentlemen

Menurut riset terbaru yang dipublikasikan oleh Check Point, SystemBC adalah malware yang berfungsi membangun terowongan jaringan SOCKS5 di lingkungan korban dan terkoneksi ke server C2 menggunakan protokol khusus yang dienkripsi RC4. Malware ini juga mampu mengunduh dan menjalankan malware tambahan, baik dengan menulis payload ke disk maupun menyuntikkannya langsung ke memori.

Sejak kemunculannya pada Juli 2025, kelompok ransomware The Gentlemen telah menjadi salah satu aktor ancaman paling produktif, dengan klaim lebih dari 320 korban yang dipublikasikan di situs kebocoran datanya. Kelompok ini menerapkan model double-extortion klasik, mengancam korban dengan enkripsi data sekaligus kebocoran informasi, dan menargetkan berbagai sistem seperti Windows, Linux, NAS, dan BSD menggunakan alat enkripsi berbasis Go serta memanfaatkan driver legal dan alat berbahaya khusus untuk mengelabui pertahanan.

Metode Akses dan Penyebaran Serangan

Mekanisme awal perolehan akses oleh pelaku belum sepenuhnya jelas, namun ada indikasi bahwa layanan yang dapat diakses dari internet atau kredensial yang sudah diretas dimanfaatkan untuk membuka pintu masuk awal. Setelah itu, mereka melakukan aktivitas eksplorasi, gerakan lateral, staging payload (seperti Cobalt Strike, SystemBC, dan enkripsi ransomware), penghindaran pertahanan, dan akhirnya melancarkan ransomware.

Salah satu teknik signifikan yang digunakan adalah penyalahgunaan Group Policy Objects (GPO) untuk kompromi domain secara menyeluruh.

"Dengan menyesuaikan taktik terhadap vendor keamanan tertentu, The Gentlemen menunjukkan kesadaran mendalam terhadap lingkungan target dan kesanggupan untuk melakukan pengintaian serta modifikasi alat secara intensif," ujar vendor keamanan Trend Micro dalam analisis September 2025.

Jangkauan Global dan Dampak Serangan

Temuan terbaru dari Check Point mengindikasikan bahwa salah satu afiliasi The Gentlemen RaaS menggunakan SystemBC pada host yang dikompromikan, dengan server C2 malware ini mengendalikan ratusan korban di berbagai negara termasuk AS, Inggris, Jerman, Australia, dan Rumania.

SystemBC sudah digunakan dalam operasi ransomware sejak 2020, meskipun hubungan pastinya dengan The Gentlemen dalam operasi ini belum sepenuhnya dipahami, apakah malware ini bagian dari taktik utama atau digunakan oleh afiliasi tertentu untuk akses jarak jauh dan eksfiltrasi data.

Menurut Check Point, selama gerakan lateral, ransomware berupaya menonaktifkan Windows Defender pada setiap host yang bisa dijangkau melalui skrip PowerShell yang menonaktifkan pemantauan waktu nyata, menambahkan eksklusi luas, mematikan firewall, mengaktifkan kembali SMB1, dan melonggarkan kontrol akses anonim LSA sebelum mengeksekusi binary ransomware.

Varian ESXi ransomware memiliki fungsi lebih terbatas dibanding varian Windows, tetapi mampu mematikan mesin virtual untuk meningkatkan efektivitas serangan, menambahkan persistence menggunakan crontab, dan menghambat proses pemulihan sebelum ransomware dijalankan.

"Kebanyakan kelompok ransomware membuat keributan saat melancarkan serangan lalu menghilang. The Gentlemen berbeda," kata Eli Smadja, manajer grup di Check Point Research. "Mereka sukses menarik afiliasi dengan menawarkan kesepakatan terbaik di ekosistem kriminal. Ketika kami mengakses server operator mereka, kami menemukan lebih dari 1.570 jaringan perusahaan yang dikompromikan yang belum pernah dilaporkan sebelumnya. Skala nyata operasi ini jauh lebih besar dari yang diketahui publik dan masih terus berkembang."

Tren dan Perkembangan Ransomware Lain

Bersamaan dengan laporan Check Point, Rapid7 mengungkap keluarga ransomware baru bernama Kyber yang muncul pada September 2025, menargetkan sistem Windows dan VMware ESXi menggunakan alat enkripsi yang dikembangkan dengan Rust dan C++.

Varian ESXi Kyber dirancang khusus untuk lingkungan VMware dengan kemampuan enkripsi datastore, pemutusan mesin virtual secara opsional, dan perusakan antarmuka manajemen. Sementara varian Windows memiliki fitur eksperimental untuk menargetkan Hyper-V.

Rapid7 menilai Kyber bukanlah ransomware yang kompleks secara kode, namun sangat efektif dalam menghancurkan data. Ini menunjukkan pergeseran tren ke arah spesialisasi daripada kompleksitas teknis.

Menurut data dari ZeroFox, kuartal pertama 2026 tercatat lebih dari 2.059 insiden ransomware dan pemerasan digital, dengan bulan Maret mencatat 747 insiden. Kelompok paling aktif termasuk Qilin, Akira, The Gentlemen, INC Ransom, dan Cl0p.

Menariknya, korban di Amerika Utara mencakup sekitar 20% serangan The Gentlemen pada kuartal ketiga 2025, menurun menjadi 2% di kuartal keempat, lalu naik kembali menjadi 13% di kuartal pertama 2026, berbeda dengan tren kelompok lain yang biasanya lebih dari 50% korbannya berada di wilayah tersebut.

Perkembangan Cepat dan Kecanggihan Ransomware

Laporan Ransomware Evolution 2025 dari perusahaan keamanan Halcyon menyoroti bagaimana ransomware semakin menjadi bisnis kriminal yang terorganisir dan disiplin. Serangan ransomware di sektor otomotif meningkat lebih dari dua kali lipat pada 2025, mencakup 44% dari seluruh insiden siber di sektor tersebut.

Tren lain yang signifikan adalah upaya mengganggu Endpoint Detection and Response (EDR), penggunaan teknik Bring Your Own Vulnerable Driver (BYOVD) untuk eskalasi hak istimewa dan menonaktifkan solusi keamanan, pengaburan antara kampanye ransomware negara dan kriminal, serta peningkatan serangan terhadap organisasi kecil dan menengah serta lingkungan teknologi operasional (OT).

Ransomware kini bergerak sangat cepat, dengan waktu tinggal (dwell time) serangan berkurang dari hari ke jam. Sekitar 69% serangan dilakukan pada malam hari dan akhir pekan untuk mengalahkan respons pertahanan.

Salah satu contoh adalah ransomware Akira yang mampu melakukan eskalasi dari akses awal hingga enkripsi penuh dalam waktu kurang dari satu jam tanpa terdeteksi, menandakan mesin serangan yang sangat efisien.

"Gabungan kemampuan kompromi cepat, tempo operasi yang disiplin, dan investasi pada infrastruktur dekripsi yang andal membuat Akira berbeda dari operator ransomware lain," kata Halcyon. "Para pembela harus menganggap Akira sebagai musuh yang mampu dan gigih yang akan mengeksploitasi setiap kelemahan untuk mencapai tujuannya."

Analisis Redaksi

Menurut pandangan redaksi, pengungkapan lebih dari 1.570 korban The Gentlemen melalui server SystemBC C2 ini mengindikasikan bahwa operasi ransomware ini jauh lebih masif dan terorganisir daripada yang selama ini diperkirakan. Double-extortion yang digunakan, ditambah kemampuan untuk menargetkan berbagai platform, menunjukkan bahwa kelompok ini bukan hanya ancaman lokal, tapi sudah menjadi risiko global yang serius.

Selain itu, penggunaan teknik seperti penyalahgunaan GPO dan modifikasi alat secara mendalam memperlihatkan bahwa The Gentlemen sangat adaptif dan mampu mengelabui sistem keamanan modern. Ini menjadi peringatan bagi perusahaan untuk meningkatkan pengawasan dan penerapan keamanan berlapis, terutama pada akses jarak jauh dan kebijakan jaringan internal.

Ke depan, publik dan pelaku industri keamanan harus memantau perkembangan kelompok ini dan ransomware lain yang semakin cepat dan spesifik dalam serangannya. Kolaborasi antar lembaga dan pertukaran intelijen menjadi kunci untuk mengimbangi evolusi ancaman yang terus bergerak cepat ini.

Untuk informasi lebih lengkap dan update terbaru, kunjungi sumber asli di The Hacker News dan pantau berita dari lembaga keamanan siber terpercaya.