SystemBC-Malware-Leads automatisieren die Bereitstellung von Nutzdaten

SystemBC, eine Malware, die erstmals im Jahr 2018 entdeckt wurde und in mehreren Kampagnen im Jahr 2019 als virtuelles privates Netzwerk verwendet wurde, wird nun von Angreifern in ihren RaaS-Vorgängen verwendet, um böswilligen Datenverkehr zu verbergen und die Lieferung von Ransomware-Nutzdaten zu automatisieren.

Die Malware hilft den böswilligen Autoren, Persistenz-Backdoor in Form eines Tor SOCKS5-Proxys bereitzustellen und die Kommunikationskanäle für die Automatisierung der Bereitstellung von Ransomware-Nutzdaten zu verschleiern.

Sophos-Forscher untersuchten bei der Untersuchung der jüngsten Ransomware-Angriffe von Ryuk und Egregor, dass SystemBC bei den Angriffen der letzten Monate eingesetzt wurde.

Sean Gallagher, ein Sophos-Sicherheitsforscher, sagte: „Wir sehen zunehmend, dass Ransomware-Betreiber die Bereitstellung von Ransomware mithilfe von Standard-Malware und Angriffstools an verbundene Unternehmen auslagern. SystemBC ist ein regelmäßiger Bestandteil der Toolkits von Ransomware-Angreifern – Sophos hat Hunderte von versuchten SystemBC-Bereitstellungen festgestellt weltweit in den letzten Monaten. „

Ryuk stellte SystemBC über Buer Loader, Bazar Loader oder andere bösartige Malware-Stämme bereit, während Egregor den Qbot-Info-Stealer dafür bevorzugte.

Die Ransomware-Betreiber verwenden die Persistenznutzlast als Remotezugriffs- / Verwaltungstool mit dem Cobalt-Streik-Post-Exploitation-Tool, um auf die Netzwerke der Opfer zuzugreifen. Diese Malware wird auch bei der Bereitstellung der Ransomware auf dem Netzwerkendpunkt verwendet, nachdem die gestohlenen Daten exfiltriert wurden.

Die Malware wird auch verwendet, um Befehle auf infizierten Windows-Geräten auszuführen, die über die Tor-Verbindung gesendet werden, und um bösartige Skripte, DLLS und Skripte bereitzustellen, die automatisch ausgeführt werden, ohne dass Benutzer eingreifen müssen.

Gallagher sagte: „Die Verwendung mehrerer Tools bei Ransomware-as-a-Service-Angriffen führt zu einem immer vielfältigeren Angriffsprofil, das für IT-Sicherheitsteams schwieriger vorherzusagen und zu bewältigen ist Die Jagd nach Bedrohungen ist unerlässlich, um solche Angriffe zu erkennen und zu blockieren. „