I ricercatori di Sophos sulla sicurezza hanno appena rilasciato nuove informazioni sullo strumento SystemBC utilizzato in più attacchi ransomware.
Approcci simili nel modo in cui lo strumento viene utilizzato potrebbero significare che uno o più affiliati ransomware-as-a-service lo hanno implementato. SystemBC è una backdoor che fornisce una connessione persistente a sistemi mirati.
Evoluzione dello strumento SystemBC
SystemBC, scoperto per la prima volta in 2019, è stato sviluppato. Lo strumento è stato utilizzato come proxy e RAT (strumento di amministrazione remota), in grado di eseguire comandi di Windows. Altre funzionalità includono l'esecuzione di script, eseguibile dannoso, e file DLL. Una volta che SystemBC viene rilasciato nel sistema, consente una connessione backdoor agli aggressori.
Gli ultimi esempi dello strumento rivelano che si è evoluto. Questi esempi contengono codice che utilizza la rete Tor per crittografare e nascondere la destinazione del traffico di comando e controllo. I ricercatori hanno assistito a "centinaia di tentativi di implementazione di SystemBC in tutto il mondo". Campagne ransomware di Ryuk e Egregor le famiglie hanno utilizzato lo strumento in combinazione con strumenti di post-sfruttamento come Cobalt Strike. "In alcuni casi, SystemBC RAT è stato distribuito ai server dopo che gli aggressori hanno ottenuto credenziali amministrative e si sono spostati in profondità nella rete di destinazione,"Dice Sophos.
Componente Tor di SystemBC
Il componente Tor nello strumento si basa su mini-tor, una libreria open source per una connettività leggera alla rete di Tor.
Il codice di mini-Tor non è duplicato in SystemBC (poiché mini-Tor è scritto in C ++ e SystemBC è compilato da C). Ma l'implementazione del bot del client Tor è molto simile all'implementazione utilizzata nel programma open-source, compreso il suo ampio uso di Windows Crypto Next Gen (CNG) Base Crypto dell'API (BCrypt) funzioni, rivela il rapporto.
Altre capacità dannose
Una volta eseguito da un'attività pianificata, il bot raccoglie informazioni di sistema specifiche, lo memorizza in un buffer, e lo invia al server di comando e controllo tramite Tor. Le informazioni raccolte includono quanto segue:
- Nome utente Windows attivo
- Numero di build di Windows per il sistema infetto
- Un controllo del processo WOW (per determinare se il sistema è a 32 bit o 64 bit)
- Numero di serie del volume.
Inoltre, gli operatori del bot possono distribuire il server di comando e controllo per inviare vari payload al sistema infetto per l'esecuzione. “SystemBC può analizzare ed eseguire blob di dati EXE o DLL passati tramite la connessione Tor, codice shell, script VBS, Comandi di Windows e script batch, e gli script di PowerShell," Sophos avverte.
Cosa significano le capacità di SystemBC per gli attacchi ransomware?
Complessivamente, l'ampio spettro delle capacità dello strumento consente agli attacchi di eseguire la scoperta, esfiltrazione, e movimento laterale in remoto con l'aiuto di script ed eseguibili pacchettizzati. I ricercatori affermano che “queste capacità erano originariamente destinate allo sfruttamento di massa, ma ora sono stati inseriti nel toolkit per attacchi mirati, compreso il ransomware ".
Per fortuna, SystemBC può essere rilevato da molti strumenti anti-malware. Tuttavia, gli autori delle minacce continuano a utilizzare lo strumento con successo perché utilizzano "una protezione antimalware incoerente tra le organizzazioni o sfruttano credenziali legittime per disabilitare la protezione antimalware".
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: