SystemBC infecta mais de 10 mil servidores e ameaça governos

A operação de malware conhecida como SystemBC continua a causar preocupações globais, infectando mais de 10.000 servidores em todo o mundo, incluindo sistemas governamentais. A investigação da empresa de segurança cibernética Silent Push revelou que, mesmo após a Operação Endgame, realizada pela Europol em maio de 2024, o malware não apenas sobreviveu, mas também evoluiu.

Pesquisadores identificaram uma nova variante do SystemBC que utiliza a linguagem de programação Perl, que não foi detectada pelos 62 motores de antivírus avaliados na plataforma VirusTotal. "A atividade continuada nos fóruns após a Operação Endgame mostra que não marcamos o fim do SystemBC", afirma o relatório da Silent Push.

Como funciona o SystemBC

Quando um servidor é infectado pelo SystemBC, o malware não apaga dados ou tenta extorquir a vítima imediatamente. Em vez disso, transforma a máquina infectada em um proxy SOCKS5, funcionando como um intermediário que retransmite tráfego de internet para agentes maliciosos.

Essa estratégia permite que o malware estabeleça uma conexão de volta com os servidores de comando dos criminosos, auxiliando na condução de tráfego malicioso sem ser detectado. Utilizando criptografia RC4, as comunicações são ofuscadas, dificultando a identificação por sistemas de segurança.

Mapa global da infecção

Os dados revelam que os Estados Unidos lideram com mais de 4.300 endereços IP infectados, seguidos por Alemanha (829), França (448), Singapura (419) e Índia (294). Notavelmente, servidores governamentais foram identificados no Vietnã e Burkina Faso, onde sites oficiais estão entre os sistemas comprometidos.

Infecções persistentes e lucrativas

Ao contrário de outros vírus que se espalham rapidamente, as infecções pelo SystemBC podem durar em média 38 dias, com alguns casos ultrapassando 100 dias. O malware atua como um proxy para ofuscar atividades criminosas e como um backdoor, permitindo acesso contínuo às redes das vítimas.

Em muitos casos, a infecção pelo SystemBC precede ataques de ransomware, que criptografam arquivos e pedem pagamento para restaurá-los.

Todos os caminhos levam à Rússia

As evidências apontam que as origens do SystemBC estão na Rússia. O desenvolvedor, sob o pseudônimo "psevdo", realiza postagens em russo em fóruns de hackers. O malware foi inicialmente documentado em 2019 pela empresa de segurança Proofpoint e tem se adaptado continuamente, com a nova variante apresentando código em russo.

Hospedagem à prova de balas

Os operadores do SystemBC utilizam serviços de hospedagem à prova de balas, que ignoram queixas e ordens legais para remover conteúdo malicioso. A infraestrutura do malware foi rastreada até provedores que operam sob regulamentação fraca ou inexistente, oferecendo abrigo para atividades criminosas.

WordPress na mira

Muitos endereços IP afetados estão ligados a ataques a sites baseados em WordPress, que é usado em cerca de 43% de todos os sites na internet. Os atacantes estão explorando vulnerabilidades em plugins ou temas desatualizados, utilizando a rede de proxies do SystemBC.

Um analista descreve a operação como em "escala industrial", onde máquinas infectadas funcionam como um exército distribuído, mas os ataques utilizam alta complexidade para ocultar a localização real dos criminosos.

Um ataque moderno

O ataque geralmente começa com a infecção por meio de vulnerabilidades em servidores ou campanhas de phishing. Após a infecção, o SystemBC conecta-se aos servidores de comando e controle, permitindo que os atacantes realizem reconhecimento na rede da vítima.

Os atacantes podem roubar credenciais e exfiltrar dados sensíveis, preparando o caminho para a implantação final de ransomware.

Janela de oportunidades

A duração média das infecções do SystemBC apresenta uma oportunidade para a defesa. Existe uma janela de tempo considerável para detecção e resposta, desde que as organizações busquem ativamente os sinais de infecção.

A Silent Push desenvolveu "feeds de Indicadores de Ataque Futuro" para o SystemBC, oferecendo informações atualizadas sobre domínios e endereços IP maliciosos, permitindo que equipes de segurança tomem ações preventivas.

"A chave é o monitoramento proativo", conclui o relatório. A espera por alertas de antivírus convencionais é insuficiente diante das novas variantes que não são detectadas.