El Malware SystemBC Usado Cada Vez Más como Puerta Trasera para Ransomware

[post-views]
mayo 14, 2021 · 3 min de lectura
El Malware SystemBC Usado Cada Vez Más como Puerta Trasera para Ransomware

Una nueva versión del malware SystemBC está siendo utilizada cada vez más por los mantenedores de ransomware para abrirse camino en los entornos objetivo. Los expertos en seguridad indican que los principales colectivos de ransomware como servicio (RaaS), incluyendo DarkSide, Ryuk y Cuba, utilizan SystemBC como una puerta trasera persistente capaz de mantener el acceso a las instancias atacadas y realizar una variedad de actividades notorias.

¿Qué es SystemBC?

SystemBC es una amenaza multifuncional que combina características de proxy y troyano de acceso remoto (RAT). Descubierto inicialmente en 2019, el malware se usaba predominantemente como un proxy de red aprovechando el protocolo SOCKS5 para comunicaciones ocultas. Sin embargo, la amenaza ha evolucionado con el tiempo, ahora siendo capaz de actuar como un RAT. En particular, SystemBC puede ejecutar comandos de Windows, entregar scripts nefastos y ejecutar DLLs junto con ejecutables de segunda etapa.

Notablemente, las muestras más recientes de SystemBC abandonan el proxy SOCKS5 a favor de usar la red de anonimización Tor para cifrar y camuflar el tráfico de comando y control (C&C). Además, en mayo de 2021, investigadores de seguridad detectaron un nuevo “wrapper” que utiliza la técnica de vaciado de procesos para desplegar SystemBC en los dispositivos objetivo.

Tras la infección, el malware sirve para el movimiento lateral, siendo encadenado con Cobalt Strike para ejecutar operaciones de robo de contraseñas y descubrimiento. Además, los hackers utilizan frecuentemente SystemBC para lograr persistencia y desplegar scripts Powershell, .BAT y .CMD para una mayor explotación y entrega de ransomware.

Puerta trasera de ransomware

SystemBC ha sido desplegado en múltiples ataques de ransomware. La banda Ryuk utilizó la amenaza en ataques de phishing junto con el cargador Buer y la puerta trasera Bazar. Además, las campañas de Egregor dependieron de SystemBC para ganar persistencia y proceder con las infecciones de ransomware. La infame banda DarkSide, detrás del cierre de Colonial Pipeline en mayo de 2021, también dependió de SystemBC para las infecciones. Finalmente, los mantenedores del ransomware Cuba aplicaron esta muestra maliciosa en el curso de su actividad maliciosa.

Los expertos en seguridad resumen que SystemBC gana una popularidad extrema entre los operadores de ransomware debido a su capacidad de conectarse sigilosamente al servidor C&C a través de la red Tor y proporcionar a los adversarios una herramienta adicional para ejecutar comandos y scripts. La muestra maliciosa ayuda a los hackers a automatizar partes de la intrusión y maximizar el número de intrusiones exitosas.

Detección de SystemBC

Para detectar la infección de SystemBC y proteger su infraestructura de posibles ataques de ransomware, puede descargar una regla Sigma comunitaria lanzada en Threat Detection Marketplace por Emir Erdogan, nuestro desarrollador de Threat Bounty:

https://tdm.socprime.com/tdm/info/FOQl3HcaDX90/#sigma

La regla tiene traducciones a los siguientes idiomas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR: SentinelOne, Microsoft Defender ATP, CrowdStrike, Carbon Black

MITRE ATT&CK:

Tácticas: Acceso a credenciales, evasión de defensas

Técnicas: Explotación para acceso a credenciales (T1212), Modificar Registro (T1112)

Obtenga una suscripción gratuita a Threat Detection Marketplace, una plataforma líder de Contenido como Servicio (CaaS) que impulsa un flujo de trabajo CI/CD completo para la detección de amenazas mediante el suministro de contenido SOC calificado, entre proveedores y herramientas. La biblioteca de SOC Prime agrega más de 100K de consultas, analizadores, paneles listos para SOC, reglas YARA y Snort, modelos de aprendizaje automático y libros de jugadas de respuesta a incidentes adaptados a 23 tecnologías de SIEM, EDR y NTDR líderes del mercado. ¿Desea crear su propio contenido de detección? ¡Únase a nuestro Programa de Threat Bounty y sea recompensado por su aporte!

Ir a la plataforma Unirse a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias