I leader del malware SystemBC automatizzano la consegna del payload
SystemBC, un malware individuato per la prima volta nel 2018 ed è stato utilizzato in diverse campagne del 2019 come rete privata virtuale, ora viene scoperto essere utilizzato dagli aggressori nelle loro operazioni RaaS per nascondere il traffico dannoso e automatizzare le consegne di payload del ransomware.
Il malware aiuta gli autori malintenzionati a distribuire backdoor di persistenza sotto forma di proxy Tor SOCKS5 e offuscare i canali di comunicazione per automatizzare le consegne di payload del ransomware.
I ricercatori di Sophos, mentre indagavano sui recenti attacchi ransomware Ryuk ed Egregor, hanno osservato che SystemBC è stato utilizzato negli attacchi avvenuti negli ultimi mesi.
Sean Gallagher, un ricercatore di sicurezza di Sophos, ha dichiarato: “Stiamo assistendo sempre più spesso agli operatori di ransomware che esternalizzano la distribuzione di ransomware agli affiliati utilizzando malware comuni e strumenti di attacco. SystemBC è una parte normale dei toolkit di recenti attacchi di ransomware – Sophos ha rilevato centinaia di tentativi di implementazione di SystemBC in tutto il mondo negli ultimi mesi “.
Ryuk ha implementato SystemBC tramite Buer Loader, Bazar Loader o altri ceppi di malware dannosi, mentre Egregor ha preferito il ladro di informazioni Qbot per lo stesso.
Gli operatori di ransomware utilizzano il payload della persistenza come strumento di accesso / amministrazione remoto con lo strumento di post-sfruttamento dello sciopero Cobalt per accedere alle reti delle vittime. Inoltre, questo malware viene utilizzato nella distribuzione del ransomware sull’endpoint di rete dopo aver eseguito l’estrazione dei dati rubati.
Inoltre, il malware viene utilizzato per eseguire comandi sul dispositivo Windows infetto inviati tramite connessione Tor e anche per fornire script dannosi, DLL e script che vengono eseguiti automaticamente senza l’intervento degli utenti.
Gallagher ha affermato: “L’uso di più strumenti negli attacchi ransomware-as-a-service crea un profilo di attacco sempre più diversificato che è più difficile da prevedere e gestire per i team di sicurezza IT. Difesa approfondita, formazione dei dipendenti e basata sull’uomo la caccia alle minacce è essenziale per rilevare e bloccare tali attacchi “.