10.000 servidores infectados y sitios gubernamentales bajo ataque: el virus SystemBC se propaga por Internet sin ser detectado
Detectan malware en Perl que pasa desapercibido y ya está por todas partes
Especialistas de Silent Push detectaron una ola de infecciones por el malware SystemBC, que convierte de forma sigilosa servidores y equipos en nodos intermedios para el tráfico criminal. Según nuevos datos, en todo el mundo se han detectado más de 10 000 direcciones IP infectadas, y una parte de ellas corresponde incluso a sitios gubernamentales. Los expertos advierten que este tipo de infecciones a menudo constituyen el primer paso antes de ataques más graves, incluidos cifrados extorsivos de datos.
SystemBC es conocido desde 2019 y pertenece a la familia de malware de tipo proxy. Convierte el sistema infectado en un intermediario de red por el que los ciberdelincuentes hacen pasar su tráfico. Al mismo tiempo, el programa abre un acceso remoto oculto a la red interna. Esto permite usar los nodos comprometidos como puntos de apoyo para posteriores intrusiones. En varios casos, a través de SystemBC se cargaron además otros módulos maliciosos, incluidos ransomware.
Los analistas desarrollaron su propio método de seguimiento de las infecciones. Con él registraron más de 10 000 direcciones únicas infectadas. El mayor número de sistemas afectados se encuentra en Estados Unidos. A continuación figuran Alemania, Francia, Singapur e India. Al mismo tiempo, las infecciones están distribuidas por el mundo de forma bastante amplia y no se limitan a una sola región.
Hallazgos en infraestructuras sensibles causaron una preocupación especial. Los especialistas detectaron nodos infectados que alojaban sitios oficiales del gobierno de Vietnam y de Burkina Faso. No se trata necesariamente de la violación de los portales en sí, sino de la compromisión del servidor donde están alojados. Aun así, esto crea riesgos adicionales para los visitantes y los propietarios de los recursos.
La infraestructura de mando de la red maliciosa se aloja en proveedores que reaccionan de forma débil a las quejas por abusos. Ese enfoque ayuda a los operadores de la red a conservar el control de los nodos durante más tiempo. De media, un sistema infectado permanecía activo alrededor de 38 días, y algunos nodos se utilizaron más de cien días seguidos. Con mayor frecuencia las víctimas eran servidores de proveedores de hosting, no dispositivos domésticos, por lo que las infecciones perduran más debido al cambio poco frecuente de direcciones.
En el curso de la investigación también se encontró una variante de SystemBC no descrita anteriormente, escrita en Perl y orientada a sistemas Linux. Ninguno de los motores antivirus más populares la reconoció en el momento de la verificación. El archivo se propagaba a través de cargadores especializados y contenía líneas en idioma ruso, lo que indirectamente indica el origen del desarrollador. La actividad del autor del malware en foros de habla rusa continúa incluso después de la operación policial internacional de 2024 dirigida contra redes similares. Esto indica que el desarrollo de la familia no se ha detenido.
Datos adicionales muestran que muchos nodos infectados se usaron para ataques contra sitios gestionados por la popular plataforma de gestión de contenidos WordPress. Los proxies basados en SystemBC ayudaban a ocultar la infraestructura real de los atacantes y a eludir bloqueos.
Los especialistas en protección recomiendan prestar especial atención a la detección temprana de señales de SystemBC en la red. La aparición de este programa suele ser un presagio de escenarios de ataque más destructivos. La comprobación periódica de servidores, la actualización del software y el control de la actividad de la red reducen notablemente el riesgo de una compromisión oculta de larga duración.