Os pesquisadores de segurança da Sophos acabam de lançar novas informações sobre a ferramenta SystemBC usada em vários ataques de ransomware.
Abordagens semelhantes em como a ferramenta é usada podem significar que uma ou mais afiliadas de ransomware-as-a-service a implantaram. SystemBC é um backdoor que fornece conexão persistente a sistemas direcionados.
Evolução da ferramenta SystemBC
SystemBC, descoberto pela primeira vez em 2019, sofreu desenvolvimento. A ferramenta tem sido usada como um proxy e um RAT (ferramenta administrativa remota), capaz de executar comandos do Windows. Outros recursos incluem a execução de scripts, executável malicioso, e arquivos DLL. Uma vez que SystemBC é descartado no sistema, permite uma conexão backdoor para atacantes.
Os exemplos mais recentes da ferramenta revelam que ela está evoluindo. Esses exemplos carregam o código que usa a rede Tor para criptografar e ocultar o destino do tráfego de comando e controle. Os pesquisadores testemunharam “centenas de tentativas de implantação do SystemBC em todo o mundo”. Campanhas de ransomware de Ryuk e Egregor famílias utilizaram a ferramenta em combinação com ferramentas de pós-exploração como Cobalt Strike. "Em alguns casos, o SystemBC RAT foi implantado nos servidores depois que os invasores ganharam credenciais administrativas e se moveram profundamente na rede alvo,”Sophos diz.
Componente Tor do SystemBC
O componente Tor na ferramenta é baseado em mini-tor, uma biblioteca de código aberto para conectividade leve com a rede do Tor.
O código do mini-Tor não é duplicado no SystemBC (já que mini-Tor é escrito em C ++ e SystemBC é compilado a partir de C). Mas a implementação do cliente Tor do bot se assemelha muito à implementação usada no programa de código aberto, incluindo o uso extensivo do Windows Crypto Next Gen (CNG) Criptografia de base da API (BCrypt) funções, o relatório revela.
Outros recursos maliciosos
Uma vez executado a partir de uma tarefa agendada, o bot coleta informações específicas do sistema, armazena em um buffer, e o envia para o servidor de comando e controle via Tor. As informações coletadas incluem o seguinte:
- Nome de usuário ativo do Windows
- Número da versão do Windows para o sistema infectado
- Uma verificação do processo WOW (para determinar se o sistema é de 32 bits ou 64 bits)
- Número de série do volume.
além disso, os operadores de bots podem implantar o servidor de comando e controle para enviar várias cargas úteis de volta ao sistema infectado para execução. “O SystemBC pode analisar e executar blobs de dados EXE ou DLL passados pela conexão Tor, código de shell, scripts de VBS, Comandos do Windows e scripts em lote, e scripts PowerShell,” Sophos avisa.
O que os recursos do SystemBC significam para ataques de ransomware?
No geral, o amplo espectro das capacidades da ferramenta permite que os ataques realizem descobertas, exfiltração, e movimento lateral remotamente com a ajuda de scripts e executáveis empacotados. Os pesquisadores dizem que “essas capacidades foram originalmente destinadas à exploração em massa, mas agora foram incorporados ao kit de ferramentas para ataques direcionados - incluindo ransomware. ”
Felizmente, SystemBC pode ser detectado por muitas ferramentas anti-malware. Contudo, os agentes de ameaças continuam a usar a ferramenta com sucesso porque usam “proteção contra malware inconsistente entre as organizações ou aproveitam credenciais legítimas para desativar a proteção contra malware”.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: