Las operaciones de ransomware-as-a-service (RaaS) están utilizando SystemBC, un malware básico que se vende en mercados clandestinos, para ocultar el tráfico malicioso y automatizar la entrega de la carga útil del ransomware en las redes de las víctimas comprometidas.

El malware, detectado por primera vez en 2018 y utilizado en varias campañas de 2019 como una “red privada virtual”, ha permitido a las bandas de ransomware y sus afiliados implementar una puerta trasera persistente en los sistemas de los objetivos en forma de un proxy Tor SOCKS5.

Esto les ayudó a crear canales de comunicación ofuscados para la preparación y entrega automatizadas de la carga útil de ransomware y la exfiltración de datos.

Utilizado tanto por Ryuk como por Egregor

Según la información recopilada por los investigadores de Sophos mientras investigaban los recientes ataques de ransomware de Ryuk y Egregor, SystemBC se ha implementado en todos sus ataques durante los últimos meses.

“Estamos viendo cada vez más que los operadores de ransomware subcontratan la implementación de ransomware a afiliados que utilizan malware básico y herramientas de ataque”, dijo el investigador de seguridad de Sophos Sean Gallagher en un informe compartido de antemano con BleepingComputer.

“SystemBC es una parte habitual de los conjuntos de herramientas de los atacantes de ransomware recientes; Sophos ha detectado cientos de intentos de implementación de SystemBC en todo el mundo durante los últimos meses”.

Ryuk está implementando SystemBC en el controlador de dominio a través de múltiples cepas de malware, incluidos Buer Loader, BazarLoader y Zloader, mientras que los operadores de Egregor prefieren usar el ladrón de información Qbot.

Los ataques investigados por Sophos utilizaron varios proveedores de malware como servicio como plataforma de lanzamiento para entregar las cargas útiles maliciosas iniciales y, según los investigadores, “involucraron días o semanas en las redes de los objetivos y la exfiltración de datos. ”

SystemBC en ataque Ryuk
Fuente: Sophos

Implementación automatizada de carga útil

Los operadores de ransomware utilizan esta puerta trasera persistente como una herramienta de administración remota (RAT) junto con la herramienta de pos-explotación Cobalt Strike en la etapa de movimiento lateral de sus ataques después de obtener acceso a las redes de las víctimas.

SystemBC también se utiliza como una herramienta de ejecución y persistencia dedicada para automatizar varias tareas, incluida la implementación del ransomware en los puntos finales de la red después de filtrar los datos robados.

Los atacantes también lo utilizan para ejecutar comandos en dispositivos Windows infectados enviados a través de una conexión Tor, así como para entregar scripts maliciosos, bibliotecas de enlaces dinámicos (DLL) y scripts que se ejecutan automáticamente sin requerir la intervención manual de los operadores.

Si bien estas capacidades de automatización se diseñaron originalmente para usarse en ataques de explotación masiva, las operaciones de RaaS lo han ajustado para que se use para el despliegue masivo en la red de víctimas singulares.

SystemBC
Fuente: Sophos

Esto permite a los operadores de ransomware gestionar ataques dirigidos a múltiples víctimas a la vez, “permitiendo la implementación sin intervención del ransomware utilizando herramientas integradas de Windows si los atacantes obtienen las credenciales adecuadas”.

A pesar de que algunas herramientas antimalware de Windows detectan y bloquean los intentos de implementación de SystemBC, las bandas de ransomware aún pueden colocarlos en las redes de sus objetivos utilizando credenciales legítimas robadas en las etapas iniciales de sus ataques o aprovechando soluciones antivirus menos capaces.

“El uso de múltiples herramientas en los ataques de ransomware como servicio crea un perfil de ataque cada vez más diverso que es más difícil de predecir y manejar para los equipos de seguridad de TI”, dijo Gallagher.

“La defensa en profundidad, la educación de los empleados y la búsqueda de amenazas basada en humanos son esenciales para detectar y bloquear tales ataques”.