B
今週中
ランサムウェア組織「The Gentlemen」がSystemBC C2サーバーを利用し、1,570社以上のネットワークに感染させたこと
📌 一言でいうと
ランサムウェア組織「The Gentlemen」がSystemBC C2サーバーを利用し、1,570社以上のネットワークに感染させたことが判明しました。攻撃者はGo言語ベースのロッカーを用いてWindows、Linux、NASなど多種多様なOSを標的にし、PowerShellやGPOを悪用してセキュリティ機能を無効化しドメイン全体を掌握します。また、SOCKS5ネットワークトンネルを構築して検知を回避し、短時間で初期侵入から暗号化までを完了させる高速な攻撃を展開しています。
🏢影響範囲
グローバルな企業、Windows/Linux/NAS/BSDを利用する多様な組織
✅該当時の対応
GPOの変更監視を強化し、PowerShellの実行ポリシーを厳格化すること。また、SystemBCなどのC2通信パターンの検知ルールを導入し、エンドポイント保護製品(EDR)のリアルタイム監視設定を保護することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ランサムウェア組織「The Gentlemen」による広範な攻撃について
お疲れさまです。標記の脅威に関する情報共有です。
■ 概要
ランサムウェア組織「The Gentlemen」がSystemBC C2サーバーを悪用し、1,570社以上のネットワークに感染させたことが判明しました。Go言語ベースのロッカーを用いてWindows, Linux, NAS, BSDなど多種多様なOSを標的にし、PowerShellやGPO(グループポリシー)を悪用してセキュリティ機能を無効化した上でドメイン全体を掌握する極めて攻撃性の高い手法を用いています。
■ 影響範囲
- Windows, Linux, NAS, BSD を運用している全環境
- Active Directory (GPO) を利用しているドメイン環境
■ 対応手順
1. GPOの変更履歴を監視し、不審なポリシー適用がないか確認してください。
2. PowerShellの実行ポリシーを厳格化し、不要なスクリプト実行を制限してください。
3. SystemBC等のC2通信パターンを検知するルールをIDS/IPSおよびEDRに導入してください。
4. EDRのリアルタイム監視設定が攻撃者によって無効化されていないか、整合性チェックを実施してください。
■ 参考情報
- Check Point Research
対応優先度: 高(速やかな確認と対策を推奨)
お疲れさまです。標記の脅威に関する情報共有です。
■ 概要
ランサムウェア組織「The Gentlemen」がSystemBC C2サーバーを悪用し、1,570社以上のネットワークに感染させたことが判明しました。Go言語ベースのロッカーを用いてWindows, Linux, NAS, BSDなど多種多様なOSを標的にし、PowerShellやGPO(グループポリシー)を悪用してセキュリティ機能を無効化した上でドメイン全体を掌握する極めて攻撃性の高い手法を用いています。
■ 影響範囲
- Windows, Linux, NAS, BSD を運用している全環境
- Active Directory (GPO) を利用しているドメイン環境
■ 対応手順
1. GPOの変更履歴を監視し、不審なポリシー適用がないか確認してください。
2. PowerShellの実行ポリシーを厳格化し、不要なスクリプト実行を制限してください。
3. SystemBC等のC2通信パターンを検知するルールをIDS/IPSおよびEDRに導入してください。
4. EDRのリアルタイム監視設定が攻撃者によって無効化されていないか、整合性チェックを実施してください。
■ 参考情報
- Check Point Research
対応優先度: 高(速やかな確認と対策を推奨)
Subject: [Security Advisory] Widespread Attacks by "The Gentlemen" Ransomware Group
Dear IT Administration Team,
We are sharing critical information regarding a widespread campaign by the ransomware group known as "The Gentlemen."
■ Overview
It has been reported that "The Gentlemen" have infected over 1,570 corporate networks using SystemBC C2 servers. The attackers utilize a Go-based locker targeting multiple operating systems (Windows, Linux, NAS, BSD). They employ sophisticated tactics, including the use of PowerShell scripts to disable Windows Defender and the exploitation of Group Policy Objects (GPO) to gain full domain control.
■ Scope of Impact
- Environments running Windows, Linux, NAS, or BSD
- Domain environments utilizing Active Directory (GPO)
■ Recommended Actions
1. Enhance monitoring of GPO changes to detect unauthorized policy modifications.
2. Tighten PowerShell execution policies to restrict the running of unauthorized scripts.
3. Implement detection rules for SystemBC C2 communication patterns within your IDS/IPS and EDR.
4. Verify the integrity of EDR real-time monitoring settings to ensure they have not been disabled.
■ Reference
- Check Point Research
Priority: High (Prompt action is highly recommended)
Dear IT Administration Team,
We are sharing critical information regarding a widespread campaign by the ransomware group known as "The Gentlemen."
■ Overview
It has been reported that "The Gentlemen" have infected over 1,570 corporate networks using SystemBC C2 servers. The attackers utilize a Go-based locker targeting multiple operating systems (Windows, Linux, NAS, BSD). They employ sophisticated tactics, including the use of PowerShell scripts to disable Windows Defender and the exploitation of Group Policy Objects (GPO) to gain full domain control.
■ Scope of Impact
- Environments running Windows, Linux, NAS, or BSD
- Domain environments utilizing Active Directory (GPO)
■ Recommended Actions
1. Enhance monitoring of GPO changes to detect unauthorized policy modifications.
2. Tighten PowerShell execution policies to restrict the running of unauthorized scripts.
3. Implement detection rules for SystemBC C2 communication patterns within your IDS/IPS and EDR.
4. Verify the integrity of EDR real-time monitoring settings to ensure they have not been disabled.
■ Reference
- Check Point Research
Priority: High (Prompt action is highly recommended)