SystemBC infecta más de 10 mil servidores y amenaza gobiernos

La operación de malware conocida como SystemBC continúa causando preocupaciones globales, infectando más de 10,000 servidores en todo el mundo, incluidos sistemas gubernamentales. La investigación de la empresa de seguridad cibernética Silent Push reveló que, incluso después de la Operación Endgame, realizada por Europol en mayo de 2024, el malware no solo sobrevivió, sino que también evolucionó.

Los investigadores identificaron una nueva variante de SystemBC que utiliza el lenguaje de programación Perl, el cual no fue detectada por los 62 motores de antivirus evaluados en la plataforma VirusTotal. "La actividad continuada en los foros después de la Operación Endgame muestra que no marcamos el fin de SystemBC", afirma el informe de Silent Push.

Cómo funciona el SystemBC

Cuando un servidor es infectado por SystemBC, el malware no borra datos ni intenta extorsionar a la víctima de inmediato. En cambio, transforma la máquina infectada en un proxy SOCKS5, funcionando como un intermediario que retransmite tráfico de internet a agentes maliciosos.

Esta estrategia permite que el malware establezca una conexión de regreso con los servidores de comando de los criminales, ayudando en la conducción de tráfico malicioso sin ser detectado. Utilizando criptografía RC4, las comunicaciones están ofuscadas, dificultando la identificación por sistemas de seguridad.

Mapa global de la infección

Los datos revelan que Estados Unidos lidera con más de 4,300 direcciones IP infectadas, seguido por Alemania (829), Francia (448), Singapur (419) e India (294). Notablemente, se han identificado servidores gubernamentales en Vietnam y Burkina Faso, donde sitios oficiales están entre los sistemas comprometidos.

Infecciones persistentes y lucrativas

A diferencia de otros virus que se propagan rápidamente, las infecciones por SystemBC pueden durar en promedio 38 días, con algunos casos superando 100 días. El malware actúa como un proxy para ofuscar actividades criminales y como un backdoor, permitiendo acceso continuo a las redes de las víctimas.

En muchos casos, la infección por SystemBC precede ataques de ransomware, que cifran archivos y piden un pago para restaurarlos.

Todos los caminos llevan a Rusia

Las evidencias apuntan a que los orígenes de SystemBC están en Rusia. El desarrollador, bajo el seudónimo "psevdo", realiza publicaciones en ruso en foros de hackers. El malware fue documentado inicialmente en 2019 por la empresa de seguridad Proofpoint y se ha adaptado continuamente, con la nueva variante presentando código en ruso.

Hospedaje a prueba de balas

Los operadores del SystemBC utilizan servicios de hospedaje a prueba de balas, que ignoran quejas y órdenes legales para eliminar contenido malicioso. La infraestructura del malware ha sido rastreada hasta proveedores que operan bajo regulaciones débiles o inexistentes, ofreciendo refugio para actividades criminales.

WordPress en la mira

Muchos de los direcciones IP afectadas están relacionadas con ataques a sitios basados en WordPress, que se utiliza en aproximadamente el 43% de todos los sitios en internet. Los atacantes están explotando vulnerabilidades en plugins o temas desactualizados, utilizando la red de proxies del SystemBC.

Un analista describe la operación como en "escala industrial", donde las máquinas infectadas funcionan como un ejército distribuido, pero los ataques utilizan alta complejidad para ocultar la ubicación real de los criminales.

Un ataque moderno

El ataque generalmente comienza con la infección a través de vulnerabilidades en servidores o campañas de phishing. Después de la infección, el SystemBC se conecta a los servidores de comando y control, permitiendo que los atacantes realicen reconocimiento en la red de la víctima.

Los atacantes pueden robar credenciales y exfiltrar datos sensibles, preparando el camino para la implantación final de ransomware.

Ventana de oportunidades

La duración promedio de las infecciones del SystemBC presenta una oportunidad para la defensa. Existe una ventana de tiempo considerable para la detección y respuesta, siempre que las organizaciones busquen activamente los signos de infección.

Silent Push ha desarrollado "feeds de Indicadores de Ataque Futuro" para el SystemBC, ofreciendo información actualizada sobre dominios y direcciones IP maliciosas, permitiendo que equipos de seguridad tomen acciones preventivas.

"La clave es el monitoreo proactivo", concluye el informe. La espera por alertas de antivirus convencionales es insuficiente ante las nuevas variantes que no son detectadas.