Upgraded Tool Used In Ryuk And Egregor Attacks

OXFORD, U.K.  — décembre 16, 2020 —

Sophos, a global leader in next-generation cybersecurity, today published new research into the SystemBC malware, “Ransomware operators use SystemBC RAT as off-the-shelf Tor backdoor.”  The research shows how SystemBC has developed into a fully-fledged remote access tool that acts as a Tor proxy and is being used in ransomware-as-a-service attacks for communications, data exfiltration and the download and execution of malicious modules.

SystemBC was first discovered in 2019, operating like a “virtual private network” via a SOCKS5 proxy. A year on, the upgraded version analysed by Sophos provides attackers with a persistent backdoor that automates a number of key activities so that operators can launch multiple attacks without the need for hands-on-keyboard activity. It can execute Windows commands passed over the Tor connection, as well as deliver and execute scripts, malicious executables and dynamic link libraries (DLLs).

Sophos’ research is based on investigations into recent ransomware-as-a-service attacks involving Ryuk and Egregor, which all deployed SystemBC. The investigations show that SystemBC is used in combination with different commodity tools, creating a diverse profile of tactics, techniques and procedures (TTPs). For instance, in some of the Ryuk attacks investigated SystemBC was deployed alongside Buer Loader malware, while other attacks in the same campaign used Bazar or Zloader. The Egregor attacks that Sophos investigated used SystemBC together with Qbot.

“We are increasingly seeing ransomware operators outsource the deployment of ransomware to affiliates using commodity malware and attack tools,” said Sean Gallagher, senior security researchers, Sophos. “SystemBC is a regular part of recent ransomware attackers’ toolkits— Sophos has detected hundreds of attempted SystemBC deployments worldwide over the last few months. The backdoor can be used in combination with other scripts and malware to perform discovery, exfiltration and lateral movement in an automated way across multiple targets. These SystemBC capabilities were originally intended for widespread commodity malware, but they have now been folded into the toolkit for targeted attacks—including ransomware.

“The use of multiple tools in ransomware-as-a-service attacks creates an ever more diverse attack profile that is harder for IT security teams to predict and deal with. Defense-in-depth, employee education and human-based threat hunting are essential to detecting and blocking such attacks.”

A list of IOCs for SystemBC is posted on SophosLabs’ GitHub page.

Further information on System BC and other cyberthreats can be found on SophosLabs Uncut where Sophos researchers regularly publish their latest research and breakthrough findings, such as Egregor Ransomware: Maze’s Heir Apparant and Inside a New Ryuk Ransomware Attack. Threat researchers can follow SophosLabs Uncut in real time on Twitter at @SophosLabs.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.