Posté le décembre 17, 2020 à 16:03
LES HACKERS UTILISENT DÉSORMAIS LE LOGICIEL MALVEILLANT SYSTEMBC POUR LEURS ATTAQUES PAR LOGICIEL DE RANÇON
La société de cybersécurité Sophos a annoncé hier qu’elle avait découvert un nouveau gang de logiciels de rançon qui utilise SystemBC RAT comme une porte dérobée Tor.
La recherche révèle comment SystemBC est devenu un outil d’accès à distance complet qui est utilisé comme un proxy Tor et déployé dans une attaque de type « Ransomware-as-a-Service » (RaaS) pour l’exfiltration de données, les communications et l’exécution de modules malveillants.
L’année dernière, lorsque SystemBC a été découvert pour la première fois, il fonctionnait comme un « réseau privé virtuel » par le biais du proxy SOCKS5.
Un an plus tard, il a été mis à niveau pour offrir une porte dérobée permanente permettant d’automatiser plusieurs activités, ce qui permet aux opérateurs de lancer de multiples attaques.
Les hackers sont constamment à la recherche de nouvelles méthodes et tactiques pour lancer des attaques réussies tout en évitant la détection. Mais cette capacité peut permettre aux acteurs malveillants d’utiliser des portes dérobées pour installer des logiciels de rançon, met en garde l’équipe de sécurité de Sophos.
Les hackers profitent de la mise à jour de SystemBC
Les acteurs malveillants peuvent lancer ces attaques en tirant parti du SystemBC amélioré, même sans avoir besoin de recourir au clavier.
Il peut exécuter des commandes Windows générées par une connexion Tor tout en fournissant et en exécutant des bibliothèques de liens dynamiques (DLL), des exécutables malveillants, et d’autres scripts.
L’équipe de sécurité de Sophos a commencé ses investigations après quelques attaques de type RaaS impliquant Egregor et Ryuk, qui ont tous deux utilisé SystemBC pour l’attaque. Après l’enquête et les recherches, l’entreprise de sécurité a découvert que SystemBC peut être combiné avec différents outils de base, générant un large éventail de procédures, de techniques et de tactiques pour lancer des attaques de ransomware.
Par exemple, certaines des attaques Ryuk étudiées montrent que SystemBC a été déployé avec le logiciel malveillant Buer Loader, les deux autres attaques similaires utilisant Zloader ou Bazar. D’autre part, les attaques Egregor sur lesquelles Sophos a enquêté utilisaient SystemBC aux côtés de Qbot.
Externalisation du déploiement des logiciels de rançon aux affiliés
Selon un chercheur senior en sécurité de Sophos Sean Galagher, les groupes de ransomware sous-traitent de plus en plus le déploiement des ransomware à leurs affiliés en utilisant des outils d’attaque et des logiciels malveillants de base.
« SystemBC fait régulièrement partie des outils utilisés récemment par les attaquants spécialisés dans les logiciels de rançon », a-t-il souligné, ajoutant que Sophos a découvert des centaines de tentatives de déploiement de SystemBC dans le monde entier au cours des derniers mois.
De plus, les acteurs de ransomware peuvent utiliser la porte dérobée avec d’autres logiciels malveillants et scripts pour rechercher et découvrir des cibles potentielles en utilisant l’automatisation sur différentes cibles.
Ces portes dérobées SystemBC ont été initialement conçues pour les logiciels malveillants de base. Cependant, elles ont été mises à jour pour devenir des boîtes à outils pour des attaques ciblées telles que les attaques par logiciel de rançon.
En raison de l’utilisation accrue de différents outils ransomware-as-a-service, il existe désormais un profil d’attaque très répandu qui rend plus difficile la détection et l’arrêt des attaques par les équipes de sécurité informatique.
Sophos a fourni des informations supplémentaires sur SystemBC et les éventuelles cyberattaques sur ses SophosLabs Uncut, la destination de publication de toutes les recherches de l’équipe de sécurité.
« SystemBC fait régulièrement partie des outils des récents attaquants de ransomware », a réitéré M. Gallagher.
SystemBC est un logiciel malveillant de type proxy qui utilise le protocole Internet SOCKS5 pour perturber le trafic vers les serveurs de commande et de contrôle (C2) avant de télécharger le cheval de Troie bancaire DanaBot.
Depuis le développement de SystemBC, il a depuis élargi ses capacités avec des fonctionnalités supplémentaires qui lui permettent d’utiliser la connexion Tor, en chiffrant et en dissimulant les communications à destination de C2.
Cela pourrait à terme permettre aux attaquants de donner une porte dérobée persistante pour déjeuner d’autres attaques à l’avenir. Les chercheurs ont également révélé que SystemBC est probablement l’un des outils de base déployés en raison du compromis précédent par le biais de courriels d’hameçonnage. Ces courriels d’hameçonnage fournissent des chargeurs de logiciels malveillants tels que Qbot, Zloader et Buer Loader.
Cela a conduit les chercheurs à penser que les attaques ont été exécutées par des filiales des opérateurs de logiciels rançonnés. Elles pourraient également être le fait de groupes de ransomware qui utilisent plusieurs fournisseurs de malware-as-a-service (logiciels malveillants en tant que service).
Selon Sophos, la porte dérobée offre aux acteurs malveillants une capacité de ciblage et de tir, car ils n’ont pas besoin d’utiliser une stratégie technique avant d’y accéder.
L’augmentation des logiciels malveillants de base montre également une nouvelle tendance à la diffusion de logiciels de rançon, comme dans le cas de MountLocker, où les opérateurs utilisent des capacités d’extorsion double-double pour répandre des logiciels de rançon avec un minimum d’efforts.