Ransomware infrastruktúra-újrahasznosítás
A Silent Push elemzés szerint több RaaS művelet kapcsolható a The Gentlemen tevékenységéhez, és jól szemlélteti az operátor-szintű újrahasznosított infrastruktúra szerepét. A kutatás kiindulópontja egy Cobalt Strike C2 konfiguráció, amelyben található egyedi watermark lehetővé tette ugyanazon operátor azonosítását különböző kampányok között, így LockBit, Black Basta és Qilin támadásokkal való kapcsolat is kirajzolódott. Ez a technikai jelölés kvázi digitális ujjlenyomatként működik, és rámutat arra, hogy a modern ransomware ökoszisztémában nem a csoportok, hanem az affiliált szereplők jelentik az operatív folytonosságot.
A támadási lánc központi eleme a CountLoader, amely több variánsban terjeszti a payloadokat, majd Cobalt Strike beacon telepítésével biztosítja a távoli vezérlést. A Cobalt Strike a teljes poszt-exploitation fázist lefedi, laterális mozgás, perzisztencia és további eszközök letöltése ezen keresztül történik. A működés jól illeszkedik a human-operated ransomware modellhez, ahol a kezdeti kompromittáció után manuális, célzott hálózati műveletek zajlanak.
Az elemzés összekapcsolja a tevékenységet a SystemBC malware-rel is, amely SOCKS5 alapú proxyzást biztosít és titkosított kommunikációt hoz létre a C2 infrastruktúra felé. A SystemBC jelenléte azt jelzi, hogy a támadók nem közvetlenül kommunikálnak az áldozati hálózattal, hanem köztes, botnet-alapú rétegen keresztül, ami növeli az anonimitást és csökkenti a detekció esélyét. Más kutatások is megerősítik, hogy a SystemBC ilyen műveletekben tipikusan további payloadok letöltésére és rejtett kommunikációra szolgál.
A Silent Push egyik kulcsmegállapítása az infrastruktúra-újrahasznosítás, ugyanaz az operátor különböző ransomware brandek alatt, de azonos loader–C2–proxy láncot használ, ami azt jelenti, hogy a kampányok közötti kapcsolat nem név, hanem technikai artefaktumok alapján érthető meg. Ez a modell aláássa a hagyományos, csoportalapú attribúciót, és az affiliate-centric megközelítést teszi relevánssá.
Ezért nem klasszikus IoC-blokkolásra épülhet a védekezés, hanem az Indicators of Future Attack (IOFA) koncepcióra, amely a támadók infrastruktúráját és előkészítő aktivitását próbálja korai fázisban azonosítani. Ennek lényege, hogy a Cobalt Strike C2 node-ok, loader infrastruktúrák és proxy hálózatok detektálása lehetővé teszi a támadások megszakítását még a ransomware payload telepítése előtt.
