The Gentlemen dan SystemBC, Ancaman Besar Ransomware 2026

Kelompok ransomware The Gentlemen semakin menunjukkan dirinya sebagai salah satu ancaman siber paling serius di dunia. Penelitian terbaru dari perusahaan keamanan siber Check Point mengungkap bahwa server command-and-control (C2) yang terkait dengan malware proxy SystemBC berhasil mengidentifikasi lebih dari 1.570 korban dari berbagai jaringan perusahaan di seluruh dunia.

Temuan ini memperlihatkan bahwa skala operasi The Gentlemen jauh lebih besar dibandingkan yang selama ini diketahui publik. Grup ransomware ini tidak hanya aktif menyerang perusahaan besar, tetapi juga memperluas jangkauan serangannya dengan taktik yang lebih canggih, terstruktur, dan agresif.

The Gentlemen diketahui beroperasi menggunakan model ransomware-as-a-service (RaaS), yaitu model bisnis kejahatan siber di mana pengembang ransomware menyediakan alat serangan kepada afiliasi atau mitra untuk digunakan dalam aksi peretasan. Sebagai imbalannya, pengembang utama akan menerima bagian dari uang tebusan yang berhasil diperoleh.

Dalam operasinya, kelompok ini memanfaatkan malware bernama SystemBC, sebuah malware proxy yang telah lama dikenal di kalangan pelaku kejahatan siber. Malware ini berfungsi sebagai jalur komunikasi tersembunyi antara perangkat korban dan server kendali milik penyerang.

Menurut Check Point, SystemBC mampu membuat terowongan jaringan SOCKS5 di dalam lingkungan korban dan terhubung ke server C2 menggunakan protokol khusus yang dienkripsi dengan RC4. Selain itu, malware ini juga dapat mengunduh dan menjalankan malware tambahan, baik dengan menyimpannya ke disk maupun langsung menyuntikkannya ke memori sistem agar lebih sulit terdeteksi.

Sejak pertama kali muncul pada Juli 2025, The Gentlemen berkembang sangat cepat dan langsung masuk ke jajaran grup ransomware paling aktif. Mereka telah mengklaim lebih dari 320 korban melalui situs kebocoran data miliknya.

Kelompok ini menjalankan strategi double extortion atau pemerasan ganda. Artinya, mereka tidak hanya mengenkripsi data korban agar tidak dapat diakses, tetapi juga mencuri data penting dan mengancam akan mempublikasikannya jika korban menolak membayar tebusan.

Metode ini membuat tekanan terhadap korban menjadi jauh lebih besar karena ancaman bukan hanya kehilangan akses data, tetapi juga kebocoran informasi sensitif perusahaan.

Yang membuat The Gentlemen semakin berbahaya adalah kemampuannya menyerang berbagai sistem operasi sekaligus. Mereka diketahui mampu menargetkan Windows, Linux, NAS, BSD, hingga lingkungan virtual seperti VMware ESXi.

Untuk melakukan serangan, mereka menggunakan locker berbasis bahasa pemrograman Go. Selain itu, mereka juga memakai driver legal dan berbagai alat berbahaya buatan sendiri agar dapat melewati sistem pertahanan keamanan perusahaan.

Hingga kini, cara pasti mereka mendapatkan akses awal ke sistem korban masih belum sepenuhnya diketahui. Namun, para peneliti menduga mereka memanfaatkan layanan yang terbuka ke internet atau kredensial yang telah dicuri sebelumnya.

Setelah berhasil masuk, mereka melakukan tahapan serangan yang cukup sistematis, mulai dari discovery atau pemetaan sistem, lateral movement untuk berpindah ke perangkat lain dalam jaringan, persiapan payload seperti Cobalt Strike, SystemBC, dan encryptor, hingga penghindaran deteksi keamanan sebelum akhirnya ransomware dijalankan.

Salah satu teknik yang dianggap paling berbahaya adalah penyalahgunaan Group Policy Objects (GPOs). Dengan memanfaatkan GPO, pelaku dapat menyebarkan konfigurasi berbahaya ke seluruh domain perusahaan secara serentak, sehingga kompromi dapat meluas dalam waktu singkat.

Trend Micro dalam analisisnya pada September 2025 menyebut bahwa The Gentlemen menunjukkan pemahaman yang sangat baik terhadap lingkungan target mereka.

Kelompok ini bahkan diketahui menyesuaikan taktik serangan berdasarkan vendor keamanan yang digunakan korban. Hal ini menunjukkan bahwa mereka tidak bekerja secara acak, melainkan melakukan pengintaian mendalam sebelum melancarkan serangan.

Check Point juga menemukan bahwa salah satu afiliasi The Gentlemen menyebarkan SystemBC pada host yang telah diretas, sementara server C2 malware tersebut mengendalikan ratusan korban dari berbagai negara seperti Amerika Serikat, Inggris, Jerman, Australia, hingga Rumania.

Meski SystemBC telah digunakan dalam berbagai operasi ransomware sejak 2020, hubungan pastinya dengan The Gentlemen masih belum sepenuhnya jelas. Belum diketahui apakah malware ini merupakan bagian resmi dari pola serangan mereka atau hanya digunakan oleh afiliasi tertentu untuk pencurian data dan akses jarak jauh.

Dalam proses lateral movement, ransomware ini juga berupaya “membutakan” Windows Defender pada setiap host yang bisa dijangkau.

Caranya dilakukan melalui skrip PowerShell yang secara otomatis menonaktifkan pemantauan real-time, menambahkan pengecualian pada drive tertentu, mematikan firewall, mengaktifkan kembali SMB1, hingga melonggarkan kontrol akses anonim LSA.

Semua langkah tersebut dilakukan sebelum ransomware utama dijalankan agar proses enkripsi berjalan tanpa hambatan.

Sementara itu, varian ransomware untuk VMware ESXi memang memiliki fitur lebih sedikit dibandingkan versi Windows, tetapi tetap sangat berbahaya. Varian ini mampu mematikan mesin virtual agar proses serangan lebih efektif, menambahkan persistensi melalui crontab, serta menghambat proses pemulihan sistem.

Eli Smadja, Group Manager di Check Point Research, mengatakan bahwa The Gentlemen berbeda dari kebanyakan grup ransomware lainnya.

Menurutnya, sebagian besar grup ransomware hanya ramai dalam waktu singkat lalu menghilang. Namun The Gentlemen justru terus berkembang karena mereka berhasil menawarkan model kerja sama yang lebih menarik bagi para afiliasi.

Saat tim peneliti berhasil masuk ke salah satu server operator mereka, ditemukan lebih dari 1.570 jaringan perusahaan yang telah dikompromikan dan bahkan belum pernah diberitakan sebelumnya.

Hal ini menunjukkan bahwa skala sebenarnya dari operasi The Gentlemen jauh lebih besar dari yang terlihat di permukaan.

Di sisi lain, Rapid7 juga melaporkan kemunculan keluarga ransomware baru bernama Kyber yang mulai aktif sejak September 2025.

Kyber menargetkan sistem Windows dan VMware ESXi menggunakan encryptor yang dikembangkan dengan bahasa Rust dan C++.

Varian ESXi-nya dirancang khusus untuk lingkungan VMware dengan kemampuan mengenkripsi datastore, menghentikan mesin virtual secara opsional, hingga merusak tampilan antarmuka manajemen.

Sementara versi Windows bahkan memiliki fitur eksperimental untuk menyerang Hyper-V.

Menurut Rapid7, Kyber mungkin bukan ransomware dengan kode paling rumit, tetapi sangat efektif dalam menciptakan kerusakan besar.

Data dari ZeroFox mencatat setidaknya terdapat 2.059 insiden ransomware dan pemerasan digital pada kuartal pertama 2026. Bulan Maret sendiri menyumbang 747 insiden.

Kelompok paling aktif selama periode tersebut adalah Qilin dengan 338 kasus, disusul Akira dengan 197 kasus, The Gentlemen dengan 192 kasus, serta INC Ransom dan Cl0p.

Menariknya, The Gentlemen menunjukkan pola target yang berbeda dibandingkan kelompok ransomware lain. Jika sebagian besar grup menjadikan Amerika Utara sebagai target utama, The Gentlemen justru menunjukkan distribusi korban yang lebih bervariasi secara global.

Hal ini memperlihatkan bahwa ancaman ransomware saat ini semakin luas dan tidak lagi terpusat pada wilayah tertentu saja.

Laporan Halcyon dalam 2025 Ransomware Evolution Report juga mempertegas bahwa ransomware kini telah berubah menjadi industri kejahatan yang sangat terorganisir.

Serangan ransomware terhadap industri otomotif bahkan meningkat lebih dari dua kali lipat sepanjang 2025 dan menyumbang 44 persen dari seluruh insiden siber di sektor tersebut.

Yang paling mengkhawatirkan adalah kecepatan serangan yang semakin tinggi. Waktu dari akses awal hingga enkripsi penuh kini menyusut dari hitungan hari menjadi hanya beberapa jam.

Sekitar 69 persen serangan bahkan sengaja dilakukan pada malam hari dan akhir pekan untuk memperlambat respons tim keamanan.

Sebagai contoh, serangan ransomware Akira mampu berkembang dari akses awal hingga enkripsi penuh hanya dalam waktu satu jam tanpa terdeteksi.

Kondisi ini menjadi peringatan serius bagi perusahaan untuk memperkuat sistem pertahanan, mempercepat respons insiden, dan meningkatkan kesadaran keamanan siber sebelum menjadi korban berikutnya.