Leads de malware SystemBC automatizam a entrega de carga útil
SystemBC, um malware detectado pela primeira vez em 2018 e usado em várias campanhas de 2019 como rede privada virtual, agora sendo usado por invasores em suas operações RaaS para ocultar tráfego malicioso e automatizar entregas de carga útil de ransomware.
O malware ajuda os autores maliciosos a implantar backdoor de persistência em uma forma de proxy Tor SOCKS5 e ofuscar os canais de comunicação para automatizar as entregas de carga útil de ransomware.
Os pesquisadores da Sophos, enquanto investigavam ataques recentes de ransomware Ryuk e Egregor, observaram que o SystemBC foi implantado nos ataques ocorridos nos últimos meses.
Sean Gallagher, um pesquisador de segurança da Sophos, disse: “Estamos vendo cada vez mais operadores de ransomware terceirizar a implantação de ransomware para afiliados usando malware e ferramentas de ataque. O SystemBC é uma parte regular dos kits de ferramentas de invasores de ransomware recentes – a Sophos detectou centenas de tentativas de implantação do SystemBC em todo o mundo nos últimos meses. “
Ryuk implantou o SystemBC via Buer Loader, Bazar Loader ou outras cepas de malware malicioso, enquanto a Egregor preferia o ladrão de informações Qbot para o mesmo.
Os operadores de ransomware usam a carga útil de persistência como uma ferramenta de acesso / administração remota com a ferramenta de pós-exploração do ataque Cobalt para acessar as redes das vítimas. Além disso, esse malware é usado na implantação do ransomware no endpoint da rede após a extração dos dados roubados.
Além disso, o malware é usado para executar comandos no dispositivo Windows infectado enviados pela conexão Tor e também para entregar scripts maliciosos, DLLS e scripts que são executados automaticamente sem a intervenção do usuário.
Gallagher disse: “O uso de várias ferramentas em ataques de ransomware-as-a-service cria um perfil de ataque cada vez mais diverso que é mais difícil para as equipes de segurança de TI prever e lidar. Defesa em profundidade, educação de funcionários a caça a ameaças é essencial para detectar e bloquear esses ataques. “