Casa > Ciber Noticias > Puerta trasera SystemBC Tor – la nueva herramienta favorita de los operadores de ransomware
CYBER NOTICIAS

Puerta trasera SystemBC Tor – la nueva herramienta favorita de los operadores de ransomware

por   |  Last Update:  |  0 Comentarios  

puerta trasera systemBCLos investigadores de seguridad de Sophos acaban de publicar nueva información sobre la herramienta SystemBC utilizada en múltiples ataques de ransomware.

Enfoques similares sobre cómo se usa la herramienta podrían significar que uno o más afiliados de ransomware como servicio la implementaron. SystemBC es una puerta trasera que proporciona una conexión persistente a sistemas específicos.

Evolución de la herramienta SystemBC

SystemBC, descubierto por primera vez en 2019, ha experimentado un desarrollo. La herramienta se ha utilizado como proxy y RAT. (herramienta administrativa remota), capaz de ejecutar comandos de Windows. Otras capacidades incluyen ejecutar scripts, ejecutable malicioso, y archivos DLL. Una vez que SystemBC se coloca en el sistema, permite una conexión de puerta trasera a los atacantes.




Las últimas muestras de la herramienta revelan que ha ido evolucionando. Estas muestras contienen código que usa la red Tor para cifrar y ocultar el destino del tráfico de comando y control.. Los investigadores han sido testigos de "cientos de intentos de implementación de SystemBC en todo el mundo". Campañas de ransomware de Ryuk y Egregor familias utilizaron la herramienta en combinación con herramientas posteriores a la explotación como Cobalt Strike. "En algunos casos, SystemBC RAT se implementó en los servidores después de que los atacantes obtuvieron credenciales administrativas y se adentraron profundamente en la red objetivo.,"Dice Sophos.

Componente Tor de SystemBC

El componente Tor en la herramienta se basa en mini-tor, una biblioteca de código abierto para una conectividad ligera a la red de Tor.

El código de mini-Tor no está duplicado en SystemBC (ya que mini-Tor está escrito en C ++ y SystemBC está compilado desde C). Pero la implementación del cliente Tor por parte del bot se parece mucho a la implementación utilizada en el programa de código abierto, incluido su uso extensivo de Windows Crypto Next Gen (GNC) Criptografía base de API (BCrypt) funciones, el informe revela.

Otras capacidades maliciosas

Una vez ejecutado desde una tarea programada, el bot recopila información específica del sistema, lo almacena en un búfer, y lo envía al servidor de comando y control a través de Tor. La información recopilada incluye lo siguiente:

  • Nombre de usuario de Windows activo
  • Número de compilación de Windows para el sistema infectado
  • Una verificación de proceso WOW (para determinar si el sistema es de 32 bits o de 64 bits)
  • Número de serie del volumen.

Además, los operadores de bot pueden implementar el servidor de comando y control para enviar varias cargas útiles al sistema infectado para su ejecución. “SystemBC puede analizar y ejecutar blobs de datos EXE o DLL pasados ​​a través de la conexión Tor, código de shell, secuencias de comandos VBS, Comandos de Windows y secuencias de comandos por lotes, y scripts de PowerShell," Sophos advierte.

¿Qué significan las capacidades de SystemBC para los ataques de ransomware??

En general, el espectro amplio de las capacidades de la herramienta permite que los ataques realicen descubrimientos, exfiltración, y movimiento lateral de forma remota con la ayuda de scripts y ejecutables empaquetados. Los investigadores dicen que "estas capacidades estaban originalmente destinadas a la explotación masiva, pero ahora se han incluido en el kit de herramientas para ataques dirigidos, incluido el ransomware ".

Afortunadamente, SystemBC puede ser detectado por muchas herramientas anti-malware. Sin embargo, Los actores de amenazas continúan utilizando la herramienta con éxito porque utilizan "protección contra malware inconsistente en todas las organizaciones o aprovechan las credenciales legítimas para deshabilitar la protección contra malware".

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. SystemBC Malware - Cómo quitar Se Lo que es SystemBC? How to remove SystemBC Malware from your...
  2. Tor Browser permite a los usuarios navegar por la Web de forma anónima Varias fuentes, entre los que los sitios web BoingBoing y PCWorld, tengo...
  3. .Virus bot Archivo (Dharma ransomware) – Cómo eliminarla ¿Qué es el virus del archivo .bot? El virus también es conocido...
  4. Onion.to Tor-to-Web roba a los operadores y las víctimas ransomware Robar a los operadores ransomware y víctimas ransomware? Misión posible, Dice...
  5. Versión del navegador Tor 10.0.18 Corrige la vulnerabilidad de seguimiento de usuarios Si está utilizando el navegador Tor, deberías conseguir...
  6. Nota Eliminación de Mini Mac What Is Note Mini Mac Note Mini is the name...
  7. Facebook facilita el acceso a su red social para Tor Servicios Ocultos Usuarios En octubre, 31 last week Facebook announced that they are...
  8. Tor de huellas dactilares navegador de los usuarios: Misión posible Para muchos usuarios, Tor is the online version of a...

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo