SystemBC, зловреден софтуер, продаван на  пазари  в тъмната мрежа, се използва от операциите ransomware-as-a-a-service (RaaS) за скриване на злонамерен трафик и автоматизиране на доставката на полезен товар на рансъмуер в мрежите на компрометирани жертви. Злонамереният софтуер, забелязан за пръв път през 2018 г. и използван в няколко кампании през 2019 г. като „виртуална частна мрежа“, позволи на бандите за рансъмуер и техните филиали да внедрят постоянен заден ход в системите на целите под формата на прокси Tor SOCKS5. Това им помогна да създадат затъмнени комуникационни канали за автоматизирано организиране и доставяне на полезен товар на рансъмуер и ексфилтрация на данни.

Използва се както от  Ryuk, така и от  Egregor

Според информация, събрана от изследователите на Sophos, докато разследвали скорошните атаки на рансъмуер Ryuk и Egregor, SystemBC е разгърната във всичките им атаки през последните месеци. „Все по-често виждаме операторите на рансъмуер да възлагат внедряването на рансъмуер на филиали, използващи закупен от тях  зловреден софтуер и инструменти за атаки“, каза изследователят по сигурността на Sophos Шон Галахър.  „SystemBC е редовна част от набора от инструменти на нападателите с рансъмуер – Sophos  откри стотици опити за внедряване на SystemBC по целия свят през последните няколко месеца.“ Ryuk внедрява SystemBC на контролера на домейни заедно чрез множество зловредни програми, включително Buer Loader, BazarLoader и Zloader, докато операторите на Egregor предпочитат да използват крадеца на информация Qbot. Атаките, разследвани от Sophos, са използвали  множество доставчици на злонамерен софтуер като услуга като стартова площадка за доставяне на първоначалните злонамерени полезни товари и, според изследователите, „те включват дни или седмици от времето в мрежите на целите и извличане на данни. „

Автоматично внедряване на полезен товар

Операторите на рансъмуер използват тази постоянна задна врата като инструмент за дистанционно администриране (RAT) заедно с инструмента за след експлоатация Cobalt Strike в етапа на флангово движение на своите атаки след получаване на достъп до мрежите на жертвите. SystemBC се използва и като специален инструмент за персистиране и изпълнение за автоматизиране на различни задачи, включително разполагането на рансъмуера на крайни точки в мрежата след извличане на откраднати данни. Атакуващите го използват и за изпълнение на команди на заразени устройства с Windows, изпратени по Tor връзка, както и за доставяне на злонамерени скриптове, библиотеки с динамични връзки (DLL) и скриптове, които се изпълняват автоматично, без да се налага ръчната намеса на операторите. Въпреки че тези възможности за автоматизация първоначално са проектирани да бъдат използвани при атаки за масова експлоатация, RaaS операциите са го доработили, за да се използва за масово разполагане в мрежата на единични жертви. Това дава възможност на операторите на рансъмуер да управляват атаки, насочени едновременно към множество жертви, „позволявайки внедряването на рансъмуер с помощта на вградени инструменти за Windows, ако нападателите получат подходящите идентификационни данни“. Въпреки че някои инструменти за защита от злонамерен софтуер на Windows откриват и блокират опитите за внедряване на SystemBC, бандите за рансъмуер все още са в състояние да ги пуснат в мрежите на своите цели, като използват законни идентификационни данни, откраднати в началните етапи на техните атаки или като се възползват от по-малко способни антивирусни решения. „Използването на множество инструменти в атаките на рансъмуер като услуга създава все по-разнообразен профил на атаки, който е по-трудно за екипите за ИТ сигурност да предскажат и да се справят с тях“, каза Галахър. „Задълбочената отбрана, образованието на служителите и използването на услугите на ловци на заплахи са от съществено значение за откриването и блокирането на подобни атаки.“

 

Източник: По материали от Интернет

Подобни публикации

Хакери продават личните данни на над милиард ки...

Съобщава се, че хакери са откраднали данните на около един милиард ...
4 юли 2022

Хакнаха акаунти на британската армия

Оперативната сигурност (opsec) на британската армия беше поставена ...
3 юли 2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години за изпълнение. Ето девет кратки,...
2 юли 2022

Глобиха Clearview AI и в Обединеното кралство

На базираната в САЩ компания е наредено да изтрие всички лични данн...

Най-добрите безплатни инструменти за премахване...

Пейзажът на заплахите за киберсигурността се развива и разширява вс...

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват, за да инстал...

Можете ли да получите част от колективното обез...

Facebook ще трябва да плати 90 милиона долара за колективно къдебно...
29 юни 2022

Украйна разби фишинг банда

Украинските сили за киберсигурност арестуваха девет души от престъп...
29 юни 2022

Amazon коригира сериозна уязвимост в приложени...

Amazon потвърди и поправи уязвимост в приложението си Photos за And...
Бъдете социални
Още по темата
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
01/07/2022

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват,...
29/06/2022

Украйна разби фишинг банда

Украинските сили за киберсигурност арестуваха девет...
Последно добавени
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
04/07/2022

Хакнаха акаунти на британск...

Оперативната сигурност (opsec) на британската армия...
03/07/2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години...
Ключови думи