Uma vasta e persistente rede de bots, conhecida como SystemBC, está a operar à vista de todos, utilizando servidores privados virtuais (VPS) vulneráveis para criar uma autêntica autoestrada de tráfego malicioso. Esta botnet mantém uma média diária de 1.500 bots ativos, servindo de infraestrutura para uma variedade de atividades criminosas na internet.
Ao contrário de muitas operações que primam pela discrição, a SystemBC destaca-se pelo volume e pela longevidade das suas infeções. A investigação revela que os servidores comprometidos estão espalhados por todo o mundo e partilham uma característica perigosa: estão repletos de vulnerabilidades de segurança por corrigir.
Servidores vulneráveis como a espinha dorsal da rede
O alvo principal da SystemBC são servidores VPS comerciais. Quase 80% da sua rede é composta por estes sistemas, que, por serem de fornecedores comerciais, garantem uma maior estabilidade e volume de tráfego para os seus "clientes". Esta estabilidade reflete-se na duração das infeções, com quase 40% dos sistemas a permanecerem comprometidos por mais de um mês.
O ponto de entrada são falhas de segurança básicas e fáceis de explorar. Em média, cada servidor infetado possui 20 vulnerabilidades por corrigir, sendo que pelo menos uma é de severidade crítica. Num caso extremo, os investigadores encontraram um sistema no estado do Alabama, nos EUA, com um total de 161 falhas de segurança listadas.
Esta infraestrutura robusta permite um volume de dados impressionante. Durante uma simulação, os especialistas observaram um único endereço IP a gerar mais de 16 gigabytes de dados de proxy em apenas 24 horas, uma quantidade muito superior ao que é visto em redes de proxy típicas.
Uma autoestrada para todo o tipo de cibercrime
A principal função da SystemBC é permitir que os seus clientes encaminhem tráfego malicioso através dos servidores infetados, ocultando assim a localização dos seus servidores de comando e controlo (C2) e dificultando a deteção. Segundo os investigadores dos Black Lotus Labs da Lumen Technology, esta botnet tem uma clientela variada.
Entre os utilizadores encontram-se várias famílias de ransomware, que a usam para entregar as suas cargas maliciosas. Além disso, a SystemBC serve de base para outros serviços de proxy criminosos, como o REM Proxy, que depende de cerca de 80% dos bots da SystemBC, e redes como a VN5Socks.
No entanto, a atividade mais proeminente observada pelos próprios operadores da botnet é o ataque de força bruta a credenciais de acesso de sites WordPress. Estes acessos são, muito provavelmente, vendidos a outros cibercriminosos que depois injetam código malicioso nos sites comprometidos.
Uma ameaça persistente e pouco discreta
Apesar da sua longa atividade, que remonta a 2019, e de ter resistido a operações policiais como a "Endgame", a SystemBC não se preocupa em manter um perfil discreto. Os endereços IP dos seus bots não são ofuscados ou rotacionados, indicando que o foco da operação é o volume e não a furtividade.
A rede é suportada por mais de 80 servidores de comando e controlo. A análise da Black Lotus Labs identificou um endereço IP específico como sendo o núcleo da atividade de recrutamento de novos bots, alojando também todos os 180 exemplares de malware da SystemBC. Quando um novo servidor é infetado, descarrega um script que executa todas as amostras de malware em simultâneo, integrando-o rapidamente na rede.
Nenhum comentário
Seja o primeiro!