SystemBC se convierte en una herramienta cada vez más usada por los ciberatacantes

  • Endpoint

Esta herramienta de proxy y RAT ha estado implicada en ciberataques tan conocidos como Egregor o Ryuk. Su último desarrollo contiene código que se sirve de la red TOR para ocultar el origen de la infraestructura de Comando y Control que utilizan los ciberatacantes.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Brechas de seguridad, ¿hay opciones? Webinar 

El pasado mes diciembre, varios analistas de ciberseguridad informaron de que habían observado un patrón preocupante en múltiples ataques de ransomware. Concretamente, descubrieron un nuevo desarrollo de SystemBC, una herramienta de proxy y RAT que ha demostrado capacidad para ejecutar comandos de Windows a través de un bot, y que también puede ejecutar scripts, archivos de biblioteca de vínculos dinámicos (DLL) y otros binarios que podrían ser maliciosos.

Con capacidades tan amplias, SystemBC es capaz de efectuar movimientos laterales dentro de la organización una vez que ha logrado ejecutar el malware, así como exflitrar datos de manera muy sencilla. Por este motivo, se está convirtiendo en una herramienta cada vez utilizada entre los ciberatacantes, como lo demuestra el hecho de que ha estado implicada en ciberataques tan conocidos como Egregor o Ryuk.

La diferencia ahora es que este último desarrollo muestra una evolución en la herramienta: en lugar de actuar como una red privada virtual a través de un proxy SOCK5, contiene código que se sirve de la red TOR para ocultar el origen de la infraestructura de Comando y Control (C&C) que utilizan los ciberatacantes.

El bot que utiliza la herramienta recopila información del sistema, lo almacena en un búfer y lo envía al servidor de C&C. Esta información incluye nombre del usuario de Windows activo, número de compilación de Windows para el sistema infectado, una verificación de proceso WOW (que determina si el sistema es de 32 bits o de 64 bits), y úmero de serie del volumen. Después, los ciberatacantes, como operadores del bot, pueden hacer que el servidor de C&C envíe cargas al sistema infectado a través de la conexión TOR para que se ejecuten archivos EXE, DLL y otros comandos de Windows.

Esta evolución supone en la práctica que pueden efectuar ciberataques mucho más dirigidos y por ese motivo, SystemBC ha adquirido más protagonismo para campañas de ransomware. En este sentido, los analistas apuntaron que en su huella detectada con Ryuk, el vector de ataque lo constituyeron correos electrónicos con phishing que introdujeron el malware con BlueLoader y otros cargadores como BazarLoader y Zloader.

Además, también es interesante para los ciberatacantes porque les permite dirigirse con esa precisión a varios sistemas a la vez que tengan como objetivo de manera automatizada, ya que pueden programar diferentes tareas para cada sistema en función de los intereses que tengan en cada uno.

Como SystemBC es una herramienta con múltiples funciones, quizás resulte más difícil de detectar para las soluciones de ciberseguridad tradicionales de las organizaciones. Por eso, hoy en día es más necesario que nunca cuenten con herramientas con capacidades de protección EDR como Cytomic EPDR que, gracias a su tecnología basada en el servicio Zero Trust, responde eficazmente a cualquier tipo de malware desconocido y ataques sin archivos y sin malware.