SystemBC infecte plus de 10 000 serveurs et menace les gouvernements
TL;DR
L'opération de malware connue sous le nom de <strong>SystemBC</strong> continue de susciter des inquiétudes mondiales, infectant plus de <strong>10 000 serveurs</strong> à travers le monde, y compris des systèmes gouvernementaux.
L'opération de malware connue sous le nom de SystemBC continue de susciter des inquiétudes mondiales, infectant plus de 10 000 serveurs à travers le monde, y compris des systèmes gouvernementaux. L'enquête de la société de sécurité informatique Silent Push a révélé qu'après l'Opération Endgame, réalisée par Europol en mai 2024, le malware non seulement a survécu, mais a également évolué.
Les chercheurs ont identifié une nouvelle variante de SystemBC qui utilise le langage de programmation Perl, qui n'a pas été détectée par les 62 moteurs antivirus évalués sur la plateforme VirusTotal. "L'activité continue sur les forums après l'Opération Endgame montre que nous n'avons pas marqué la fin de SystemBC", affirme le rapport de Silent Push.
Comment fonctionne SystemBC
Lorsqu'un serveur est infecté par SystemBC, le malware ne supprime pas les données ni n'essaie d'extorquer immédiatement la victime. Au lieu de cela, il transforme la machine infectée en un proxy SOCKS5, agissant comme un intermédiaire qui retransmet le trafic Internet à des agents malveillants.
Cette stratégie permet au malware d'établir une connexion de retour avec les serveurs de commande des criminels, facilitant la conduite de trafic malveillant sans être détecté. En utilisant le chiffrement RC4, les communications sont obscurcies, rendant leur identification difficile par les systèmes de sécurité.
Carte mondiale de l'infection
Les données révèlent que les États-Unis en tête avec plus de 4 300 adresses IP infectées, suivis par l'Allemagne (829), la France (448), Singapour (419) et l'Inde (294). Notamment, des serveurs gouvernementaux ont été identifiés au Vietnam et au Burkina Faso, où des sites officiels figurent parmi les systèmes compromis.
Infections persistantes et lucratives
Contrairement à d'autres virus qui se propagent rapidement, les infections par SystemBC peuvent durer en moyenne 38 jours, certains cas dépassant 100 jours. Le malware agit comme un proxy pour obscurcir les activités criminelles et comme un backdoor, permettant un accès continu aux réseaux des victimes.
Dans de nombreux cas, l'infection par SystemBC précède des attaques de rançongiciels, qui chiffrent des fichiers et demandent un paiement pour les restaurer.
Tous les chemins mènent à la Russie
Les preuves indiquent que les origines de SystemBC se trouvent en Russie. Le développeur, sous le pseudonyme "psevdo", publie en russe sur des forums de hackers. Le malware a été initialement documenté en 2019 par la société de sécurité Proofpoint et s'est continuellement adapté, la nouvelle variante présentant un code en russe.
Hébergement à l'épreuve des balles
Les opérateurs de SystemBC utilisent des services d'hébergement à l'épreuve des balles, qui ignorent les plaintes et les ordres légaux de retirer du contenu malveillant. L'infrastructure du malware a été retracée jusqu'à des fournisseurs qui opèrent sous une réglementation faible ou inexistante, offrant refuge pour les activités criminelles.
WordPress dans le collimateur
De nombreuses adresses IP affectées sont liées à des attaques de sites basés sur WordPress, qui est utilisé sur environ 43 % de tous les sites sur Internet. Les attaquants exploitent des vulnérabilités dans des plugins ou des thèmes obsolètes, utilisant le réseau de proxies de SystemBC.
Un analyste décrit l'opération comme à "échelle industrielle", où des machines infectées fonctionnent comme une armée distribuée, mais les attaques utilisent une grande complexité pour dissimuler la localisation réelle des criminels.
Une attaque moderne
L'attaque commence généralement par une infection via des vulnérabilités sur des serveurs ou des campagnes de phishing. Après l'infection, SystemBC se connecte aux serveurs de commande et de contrôle, permettant aux attaquants de réaliser un reconnaissance sur le réseau de la victime.
Les attaquants peuvent voler des identifiants et exfiltrer des données sensibles, préparant le terrain pour l'implantation finale de rançongiciels.
Fenêtre d'opportunité
La durée moyenne des infections par SystemBC présente une opportunité pour la défense. Il existe une fenêtre de temps considérable pour la détection et la réponse, tant que les organisations recherchent activement des signes d'infection.
Silent Push a développé des "flux d'indicateurs d'attaque future" pour SystemBC, fournissant des informations mises à jour sur des domaines et des adresses IP malveillants, permettant aux équipes de sécurité de prendre des mesures préventives.
"La clé est la surveillance proactive", conclut le rapport. Attendre des alertes d'antivirus traditionnels est insuffisant face aux nouvelles variantes qui ne sont pas détectées.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
