Eine DFIR-Untersuchung beschreibt, wie ein Affiliate des Gentlemen-RaaS-Programms Domänenkontrolle erlangte, SystemBC-Tunneling versuchte und Go-basierte Ransomware über Group Policy ausrollte – mit über 1.570 Infektionen weltweit.
Eine Untersuchung im Bereich Digital Forensics and Incident Response (DFIR) von Checkpoint Research deckte eine Angriffskette auf, die mit einem Affiliate des Gentlemen-Ransomware-as-a-Service-Programms in Verbindung steht. Der Vorfall kombinierte eine Kompromittierung auf Domänenebene, den Einsatz von Proxy-Malware und die Verteilung von Ransomware über Group Policy.
Der Affiliate versuchte, SystemBC für Tunneling und Pivoting zu installieren, bevor er den Gentlemen-Verschlüssler einsetzte. Die Analyse der zugehörigen SystemBC-Command-and-Control-Infrastruktur ergab mehr als 1.570 infizierte Systeme, hauptsächlich in Unternehmensnetzwerken in den USA, Großbritannien und Deutschland.
Das Gentlemen Ransomware as a Service (RaaS) Programm tauchte erstmals Mitte 2025 auf Untergrundforen auf. Die Betreiber werben technisch versierte Affiliates mit einem Portfolio plattformübergreifender Locker, die in Go für Windows, Linux, NAS-Geräte und BSD-Systeme sowie in C für VMware-ESXi-Umgebungen geschrieben sind. Verifizierte Partner erhalten EDR-Ausweichwerkzeuge und Zugriff auf eine Multi-Hop-Proxy-Infrastruktur.
Opferdaten werden auf einer Onion-Site veröffentlicht, falls keine Zahlung erfolgt. Verhandlungen laufen über individuelle Affiliate-Tox-IDs, während ein zugehöriges X-Konto kompromittierte Organisationen öffentlich auflistet. Das Programm hat Ansprüche auf etwas mehr als 320 Opfer erhoben, die Mehrheit davon in den ersten Monaten des Jahres 2026.
SystemBC fungiert als SOCKS5-Proxy, der verschlüsselte Tunnel zu seinem Command-and-Control-Server über ein eigenes RC4-Protokoll aufbaut. Es unterstützt das Herunterladen und Ausführen zusätzlicher Nutzlasten auf Festplatte oder direkt im Speicher. Im untersuchten Fall stellte der Affiliate die Binärdatei als socks.exe auf einem kompromittierten Host bereit und leitete sie an die IP-Adresse 45.86.230.112 weiter. Der Endpunktschutz blockierte den Versuch. Telemetriedaten desselben C&C-Servers zeigten ein Botnet, das sich auf Unternehmensumgebungen konzentrierte.
Die Angriffszeitachse begann damit, dass der Angreifer bereits über Domain-Administrator-Rechte auf einem Domain-Controller verfügte. Von dort aus führte er eine Credential-Validierung und Host-Enumeration durch und initiierte fehlgeschlagene sowie erfolgreiche Anmeldeversuche im Netzwerk. Cobalt-Strike-Nutzlasten wurden über administrative Shares (ADMIN$) mit zufällig benannten siebenstelligen Dateinamen kopiert und per RPC gestartet. Reconnaissance-Befehle umfassten systeminfo, whoami, dir c:\users sowie den Zugriff auf interne Dokumente wie die Datei 公司主機紀錄.txt auf einem Netzwerk-Share.
Auf einem System wurde socks.exe bereitgestellt, ausgeführt und mit tasklist | findstr /i socks überprüft, bevor der Block erfolgte. Kurz darauf startete eine separate Nutzlast rundll32.exe und verband sich mit Cobalt-Strike-Infrastruktur unter 91.107.247.163 auf den Ports 443 und 80. Eine geplante Aufgabe führte einen PowerShell-Befehl aus, um grand.exe – die Gentlemen-Ransomware-Binärdatei – vom internen Webserver des Domain-Controllers herunterzuladen und als c:\programdata\r.exe zu speichern. Die Binärdatei wurde mit den Argumenten –password VvO8EtUh –spread [REDACTED_DOMAIN][REDACTED_USER]:[REDACTED_PASSWORD] gestartet und ermöglichte sowohl kontrollierte Ausführung als auch laterale Bewegung.
Die Abwehrumgehung folgte unmittelbar. Der Angreifer deaktivierte die Echtzeitüberwachung von Windows Defender mit Set-MpPreference -DisableRealtimeMonitoring $true -Force. Die gleiche Ransomware-Nutzlast breitete sich unter mehreren Dateinamen (r.exe, g.exe, o.exe) aus. Umgebungsprüfungen zielten auf Sicherheitsprodukte ab (wmic product where Name like ‚%kaspe%‘) und erzwangen Group-Policy-Updates (gpupdate /force).
Das Remote Desktop Protocol wurde durch Änderung des Registry-Schlüssels fDenyTSConnections und Anpassung der Firewall-Regelgruppe aktiviert. AnyDesk wurde mit dem Befehl anydesk.exe –install installiert, mit dem Passwort Camry@12345 konfiguriert und persistent gestartet. Mit Mimikatz wurden Zugangsdaten extrahiert und die Domänen-Enumeration mit Abfragen zu aktiven Sitzungen, Domänenvertrauensstellungen, Domain-Controllern sowie Mitgliedschaften in Domain Admins und Enterprise Admins fortgesetzt.
Die letzte Phase nutzte Group Policy, um die Ransomware-Binärdatei domänenweit zu verteilen. Die Policy-Aktualisierung löste eine nahezu gleichzeitige Ausführung auf allen angeschlossenen Systemen aus und führte zu koordinierter Verschlüsselung. Die Gentlemen-Binärdatei, in Go entwickelt, erfordert ein obligatorisches –password-Argument und unterstützt optionale Flags für Zielpfade, Verschlüsselungsmodi (–system, –shares, –full), laterale Ausbreitung über Credentials, GPO-Deployment, Silent-Modus, Dateilöschung und Geschwindigkeitsbegrenzung. Die Entwicklung des Lockers ist weiterhin aktiv.
Der Vorfall veranschaulicht einen strukturierten, menschlich gesteuerten Ransomware-Arbeitsablauf: privilegierter Zugriff auf einen Domain-Controller, mehrschichtige Command-and-Control-Kanäle, schnelle interne Ausbreitung, Unterdrückung von Abwehrmechanismen, Persistenz über RDP und Remote-Desktop-Software sowie Massenverteilung über Enterprise-Management-Tools. Der fehlgeschlagene SystemBC-Versuch führte zu einem sofortigen Wechsel auf alternative Infrastruktur und zeigt operationelle Resilienz. Ob SystemBC Teil des Kern-Toolkits von Gentlemen ist oder unabhängig vom Affiliate ausgewählt wurde, lässt sich aus den vorliegenden Erkenntnissen nicht abschließend klären.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de