Link-2-Secure

Cybersecurity and data breach news

Ransomware attack alert on a bitcoins background. 3d illustration

Operatorzy ransomware używają backdoor SystemBC z Tor proxy i RAT Futures do ataków na nowe cele.

SystemBC jest złośliwym oprogramowaniem dostępnym w darknecie (marketplace’ach) w modelu „okup-jako-usługa” (RaaS – ransomware-as-a-service) stosowanym w celu ukrycia wszelkiego rodzaju malware’u i zautomatyzowania pobierania opłat za okup.

W dzisiejszych czasach cyberprzestępcy coraz częściej zlecają na zewnątrz obowiązek wypłaty okupu podmiotom powiązanym wykorzystującym złośliwe oprogramowanie i różne metody ataku.

Analitycy odkryli nową odsłonę backdoor’u SystemBC, który uaktualnił funkcje Tor Proxy i RAT, aby poszerzyć jego zakres i umożliwiać przeprowadzanie wyrafinowanych ataków o wysokim stopniu zaawansowania.

SystemBC używany zarówno przez Ryuka jak i Egregora
Analitycy bezpieczeństwa w Sophos zbadali i zebrali kilka informacji na temat złośliwego oprogramowania. Prowadząc dochodzenie w sprawie Ryuka i Egregora, eksperci zdali sobie sprawę, że napastnicy wykorzystywali SystemBC we wszystkich swoich atakach w ciągu ostatnich miesięcy.

Jednak Ryuk pozbywa się SystemBC na koncie domeny jednocześnie poprzez wiele działań związanych ze złośliwym oprogramowaniem, w tym Buer Loader, BazarLoader i Zloader. Z drugiej strony, operatorzy Egregor korzystali z narzędzia „Qbot data stealer”.

Co więcej, ataki analizowane przez Sophos wykorzystywały wielu dostawców złośliwego oprogramowania.

Specjaliści potwierdzają, że wykorzystanie różnych narzędzi w atakach typu „okup za usługę” stanowi inny profil ataku, który jest trudniejszy do zidentyfikowania i zwalczania przez zespoły bezpieczeństwa IT.

Na szczęście SystemBC jest wyłapywany przez wiele narzędzi do walki ze złośliwym oprogramowaniem.