Меню
SystemBC, зловреден софтуер, продаван на пазари в тъмната мрежа, се използва от операциите ransomware-as-a-a-service (RaaS) за скриване на злонамерен трафик и автоматизиране на доставката на полезен товар на рансъмуер в мрежите на компрометирани жертви. Злонамереният софтуер, забелязан за пръв път през 2018 г. и използван в няколко кампании през 2019 г. като „виртуална частна мрежа“, позволи на бандите за рансъмуер и техните филиали да внедрят постоянен заден ход в системите на целите под формата на прокси Tor SOCKS5. Това им помогна да създадат затъмнени комуникационни канали за автоматизирано организиране и доставяне на полезен товар на рансъмуер и ексфилтрация на данни.
Според информация, събрана от изследователите на Sophos, докато разследвали скорошните атаки на рансъмуер Ryuk и Egregor, SystemBC е разгърната във всичките им атаки през последните месеци. „Все по-често виждаме операторите на рансъмуер да възлагат внедряването на рансъмуер на филиали, използващи закупен от тях зловреден софтуер и инструменти за атаки“, каза изследователят по сигурността на Sophos Шон Галахър. „SystemBC е редовна част от набора от инструменти на нападателите с рансъмуер – Sophos откри стотици опити за внедряване на SystemBC по целия свят през последните няколко месеца.“ Ryuk внедрява SystemBC на контролера на домейни заедно чрез множество зловредни програми, включително Buer Loader, BazarLoader и Zloader, докато операторите на Egregor предпочитат да използват крадеца на информация Qbot. Атаките, разследвани от Sophos, са използвали множество доставчици на злонамерен софтуер като услуга като стартова площадка за доставяне на първоначалните злонамерени полезни товари и, според изследователите, „те включват дни или седмици от времето в мрежите на целите и извличане на данни. „
Операторите на рансъмуер използват тази постоянна задна врата като инструмент за дистанционно администриране (RAT) заедно с инструмента за след експлоатация Cobalt Strike в етапа на флангово движение на своите атаки след получаване на достъп до мрежите на жертвите. SystemBC се използва и като специален инструмент за персистиране и изпълнение за автоматизиране на различни задачи, включително разполагането на рансъмуера на крайни точки в мрежата след извличане на откраднати данни. Атакуващите го използват и за изпълнение на команди на заразени устройства с Windows, изпратени по Tor връзка, както и за доставяне на злонамерени скриптове, библиотеки с динамични връзки (DLL) и скриптове, които се изпълняват автоматично, без да се налага ръчната намеса на операторите. Въпреки че тези възможности за автоматизация първоначално са проектирани да бъдат използвани при атаки за масова експлоатация, RaaS операциите са го доработили, за да се използва за масово разполагане в мрежата на единични жертви. Това дава възможност на операторите на рансъмуер да управляват атаки, насочени едновременно към множество жертви, „позволявайки внедряването на рансъмуер с помощта на вградени инструменти за Windows, ако нападателите получат подходящите идентификационни данни“. Въпреки че някои инструменти за защита от злонамерен софтуер на Windows откриват и блокират опитите за внедряване на SystemBC, бандите за рансъмуер все още са в състояние да ги пуснат в мрежите на своите цели, като използват законни идентификационни данни, откраднати в началните етапи на техните атаки или като се възползват от по-малко способни антивирусни решения. „Използването на множество инструменти в атаките на рансъмуер като услуга създава все по-разнообразен профил на атаки, който е по-трудно за екипите за ИТ сигурност да предскажат и да се справят с тях“, каза Галахър. „Задълбочената отбрана, образованието на служителите и използването на услугите на ловци на заплахи са от съществено значение за откриването и блокирането на подобни атаки.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
