Les logiciels malveillants SystemBC automatisent la livraison de la charge utile

SystemBC, un logiciel malveillant repéré pour la première fois en 2018 et utilisé dans plusieurs campagnes de 2019 en tant que réseau privé virtuel, est maintenant utilisé par des attaquants dans leurs opérations RaaS pour masquer le trafic malveillant et automatiser les livraisons de charges utiles de ransomware.

Le logiciel malveillant aide les auteurs malveillants à déployer une porte dérobée de persistance sous la forme d’un proxy Tor SOCKS5 et à masquer les canaux de communication pour automatiser les livraisons de charges utiles de ransomware.

Les chercheurs de Sophos, tout en enquêtant sur les récentes attaques de ransomwares Ryuk et Egregor, ont observé que SystemBC avait été déployé dans les attaques des mois derniers.

Sean Gallagher, un chercheur en sécurité de Sophos, a déclaré: «Nous voyons de plus en plus d’opérateurs de ransomwares externaliser le déploiement de ransomwares à des affiliés en utilisant des logiciels malveillants et des outils d’attaque. SystemBC fait régulièrement partie des kits d’outils récents des attaquants de ransomware – Sophos a détecté des centaines de tentatives de déploiement SystemBC dans le monde au cours des derniers mois. « 

Ryuk a déployé SystemBC via Buer Loader, Bazar Loader ou d’autres souches de logiciels malveillants, tandis qu’Egregor préférait le voleur d’informations Qbot pour la même chose.

Les opérateurs de ransomware utilisent la charge utile de persistance comme un outil d’accès / d’administration à distance avec l’outil de post-exploitation de grève Cobalt pour accéder aux réseaux des victimes. En outre, ce malware est utilisé dans le déploiement du ransomware sur le point de terminaison du réseau après l’ex-filtration des données volées.

En outre, le logiciel malveillant est utilisé pour exécuter des commandes sur un appareil Windows infecté envoyé via une connexion Tor et également pour fournir des scripts malveillants, des DLLS et des scripts qui s’exécutent automatiquement sans l’intervention des utilisateurs.

Gallagher a déclaré: « L’utilisation de plusieurs outils dans les attaques de ransomware-as-a-service crée un profil d’attaque de plus en plus diversifié qui est plus difficile à prévoir et à gérer pour les équipes de sécurité informatique. Défense en profondeur, formation des employés et base humaine la chasse aux menaces est essentielle pour détecter et bloquer de telles attaques. «