SystemBC: Windows-Schädling wird zur Ransomware-Drehscheibe

Ein altbekannter Windows-Schädling wird zur Drehscheibe für Ransomware-Angriffe.

Seit Jahren treibt SystemBC – auch unter dem Namen Coroxy bekannt – sein Unwesen in Unternehmensnetzwerken. Die Malware fungiert als SOCKS5-Proxy und dauerhafter Hintertür-Mechanismus, der Cyberkriminellen den Fernzugriff auf kompromittierte Systeme ermöglicht. Am heutigen Montag veröffentlichte Sicherheitsforscher aktuelle Erkenntnisse, die zeigen: Die Bedrohung ist keineswegs gebannt.

Eine Erfolgsgeschichte der Cyberkriminalität

SystemBC blickt auf eine lange Karriere zurück. Erste Varianten tauchten bereits zwischen 2018 und 2019 auf. Seither hat sich der Schädling zu einem unverzichtbaren Werkzeug in der Toolbox berüchtigter Erpresserbanden entwickelt.

Die Liste der Gruppen, die SystemBC einsetzen, liest sich wie das „Who is Who" der Ransomware-Szene: Ryuk, Egregor und Conti nutzten die Software ebenso wie die aktuell aktiven Gruppierungen BlackBasta, Play und Rhysida. Die Funktionsweise ist perfide: SystemBC verwandelt infizierte Rechner in Proxys, über die die Angreifer ihren Datenverkehr leiten. So können sie ihre Spuren verwischen und während der Ausspähungs- und Verschlüsselungsphase unerkannt im Netzwerk bleiben.

Angesichts immer professionellerer Ransomware-Gruppen wie Conti oder BlackBasta ist ein präventiver Schutz für Betriebe wichtiger denn je. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken: Jetzt Gratis-Report anfordern

Tor macht den Schädling noch gefährlicher

Die Entwickler von SystemBC ruhen sich nicht auf ihren Lorbeeren aus. Neuere Versionen haben das Tor-Netzwerk integriert, um die Kommunikation mit den Steuerungsservern zu verschleiern. Das verschafft den Angreifern eine zusätzliche Anonymitätsebene.

Der Mechanismus bleibt derselbe: Auf dem Opfer-Rechner wird ein SOCKS5-Proxy installiert. Der gesamte schädliche Datenverkehr wird durch diesen Tunnel geleitet. Für die Netzwerksicherheit des angegriffenen Unternehmens sieht die ausgehende Verbindung aus, als stamme sie von einem legitimen internen System. Herkömmliche Perimeter-Sicherheitslösungen werden so elegant umgangen.

Weitere Bedrohungen am Horizont

SystemBC ist nicht die einzige Gefahr, die Sicherheitsexperten derzeit beschäftigt. Am heutigen Montag wurden mehrere weitere schwerwiegende Sicherheitslücken und Schadsoftware-Familien identifiziert.

Forscher entdeckten eine neue Win32k-Callback-Injection-Technik, die eine heimliche Prozessinjektion und die Ausführung von Remote-Code ermöglicht. Die Methode missbraucht spezifische Callback-Funktionen des Betriebssystems.

Parallel dazu wurde das STOCKSTAY-Malware-Framework der berüchtigten Turla-Gruppe zugeordnet. Die Schadsoftware zielt auf diplomatische Vertretungen in Europa und Regierungsorganisationen in der Ukraine ab. Ähnlich wie SystemBC setzt STOCKSTAY auf modulare Komponenten und Verschleierungstechniken, um dauerhaft auf den Zielsystemen zu verbleiben.

Da Hacker gezielt psychologische Schwachstellen und technische Hintertüren ausnutzen, benötigen Unternehmen eine klare Strategie zur Abwehr. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Sicherheitslücken schließen und Phishing-Angriffe stoppen, bevor sie entstehen. In 4 Schritten zum sicheren Unternehmen – hier Gratis-Leitfaden sichern

CISA schlägt Alarm

In einer separaten Entwicklung hat die US-amerikanische Cybersicherheitsbehörde CISA eine Schwachstelle in SolarWinds Serv-U in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Der Fehler kann zu Denial-of-Service-Zuständen führen und wird Berichten zufolge bereits aktiv im Internet ausgenutzt.

de | wissenschaft | 69653597 |