¿Alquilaste un VPS? Sin saberlo, podrías estar implicado en el robo de datos

Los operadores de la botnet SystemBC han construido una red global que se apoya en servidores virtuales comerciales comprometidos y mantiene diariamente alrededor de 1500 nodos activos. Estas máquinas se convierten en infraestructura para redirigir tráfico malicioso y ocultar servidores de comando. Los especialistas de Black Lotus Labs señalan que este sistema se basa en la escala, no en el sigilo: las direcciones de los sistemas infectados no se ocultan ni cambian, lo cual es inusual para las redes de proxy criminales.

SystemBC se conoce desde 2019 y se utiliza tanto para la entrega de malware como para el alquiler de recursos por otros servicios delictivos. Por ejemplo, el servicio REM Proxy se apoya en aproximadamente el 80% de la infraestructura de SystemBC, ofreciendo a los clientes diferentes tarifas según la calidad de los proxies. Entre otros usuarios destacados figuran un servicio ruso de rastreo de sitios y la red vietnamita VN5Socks (también Shopsocks5). Sin embargo, los propios operadores usan la red principalmente para ataques de fuerza bruta a contraseñas en sitios de WordPress, y luego revenden el acceso a intermediarios que inyectan código malicioso.

Más del 80% de las máquinas implicadas son servidores virtuales de grandes proveedores de hosting. Su rasgo distintivo es un nivel extremadamente alto de vulnerabilidades: el promedio es alrededor de veinte fallos de seguridad, incluida al menos una crítica. En el informe de Black Lotus Labs se menciona un servidor concreto en Alabama en el que el sistema Censys detectó 161 brechas sin corregir. Debido a ese estado de seguridad, casi el 40% de los nodos permanecen infectados durante más de un mes, lo que proporciona a la red estabilidad y un gran volumen de capacidad de transferencia. Para comparar: un nodo comprometido en un día puede transmitir más de 16 gigabytes de tráfico proxy, varias veces más que en redes proxy domésticas basadas en routers domésticos.

La gestión se apoya en más de 80 servidores de comando que conectan a los clientes con los proxies infectados. Además, se ha identificado una dirección central — 104.250.164[.]214 — en la que se almacenan las 180 muestras conocidas de SystemBC y a través de la cual se reclutan nuevas víctimas. Tras la infección, la máquina descarga un script de shell con comentarios en ruso que ejecuta simultáneamente todas las variantes del malware. Esto garantiza el uso máximo del recurso y la resistencia a intentos de bloqueo. Incluso operaciones a gran escala de las fuerzas del orden, como Endgame, no lograron dejar la red fuera de servicio.

Según Black Lotus Labs, la infraestructura de larga vida de SystemBC se ha convertido en la base para numerosos servicios criminales y todavía se utiliza como canal principal de transferencia de tráfico ilegal. En su investigación, la empresa publica un análisis técnico del funcionamiento del proxy-botnet e indicadores de compromiso que ayudarán a detectar infecciones y a impedir la explotación de servidores.