Los clientes potenciales de malware de SystemBC automatizan la entrega de carga útil

SystemBC, un malware detectado por primera vez en 2018 y que se usó en varias campañas de 2019 como red privada virtual, ahora los atacantes lo utilizan en sus operaciones RaaS para ocultar el tráfico malicioso y automatizar las entregas de carga útil de ransomware.

El malware ayuda a los autores maliciosos a implementar una puerta trasera de persistencia en una forma de proxy Tor SOCKS5 y ofuscar los canales de comunicación para automatizar las entregas de carga útil de ransomware.

Los investigadores de Sophos, mientras investigaban los recientes ataques de ransomware de Ryuk y Egregor, observaron que SystemBC se ha implementado en los ataques ocurridos los últimos meses.

Sean Gallagher, investigador de seguridad de Sophos, dijo: “Cada vez vemos más operadores de ransomware que subcontratan la implementación de ransomware a afiliados que utilizan malware básico y herramientas de ataque. SystemBC es una parte habitual de los conjuntos de herramientas de los atacantes de ransomware recientes; Sophos ha detectado cientos de intentos de implementación de SystemBC en todo el mundo durante los últimos meses “.

Ryuk implementó SystemBC a través de Buer Loader, Bazar Loader u otras cepas de malware malicioso, mientras que Egregor prefirió el robo de información Qbot para lo mismo.

Los operadores de ransomware utilizan la carga útil de persistencia como una herramienta de administración / acceso remoto con la herramienta de post explotación de Cobalt strike para acceder a las redes de las víctimas. Además, este malware se utiliza en la implementación del ransomware en el punto final de la red después de que se realiza la filtración previa de los datos robados.

Además, el malware se utiliza para ejecutar comandos en dispositivos Windows infectados enviados a través de la conexión Tor y también para entregar scripts maliciosos, DLLS y scripts que se ejecutan automáticamente sin la intervención de los usuarios.

Gallagher dijo: “El uso de múltiples herramientas en los ataques de ransomware como servicio crea un perfil de ataque cada vez más diverso que es más difícil de predecir y manejar para los equipos de seguridad de TI. Defensa en profundidad, educación de los empleados y la caza de amenazas es esencial para detectar y bloquear tales ataques “.