Una peligrosa botnet ha sido descubierta y está siendo utilizada por un servicio criminal llamado REM Proxy para vender acceso a servidores comprometidos. La botnet se basa en el malware SystemBC , que infecta servidores para convertirlos en proxies SOCKS5. Este tipo de servicio malicioso oculta el tráfico de los atacantes y facilita una amplia gama de actividades ilícitas.
¿Qué es SystemBC y qué está ocurriendo?
SystemBC es un tipo de malware que convierte los hosts infectados en proxies SOCKS5. El servicio criminal REM Proxy vende o proporciona acceso a estos proxies a otros actores maliciosos. Un informe de Black Lotus Labs indica que la botnet utiliza más de 80 servidores de mando y control (C2) y compromete aproximadamente 1.500 servidores privados virtuales (VPS) al día.
Características de la botnet
Objetivo principal: Alrededor del 80% de los servidores infectados son VPS de grandes proveedores comerciales, lo que los hace ideales para manejar un alto volumen de tráfico.
Vulnerabilidades: Muchos de los VPS comprometidos tienen múltiples vulnerabilidades conocidas sin parchear . En un caso, un solo servidor tenía más de 160 CVE sin corregir.
Vida útil prolongada: Las infecciones de SystemBC tienen una vida útil larga; El 40% de los VPS permanecen comprometidos por más de un mes antes de ser detectados o limpios.
Usos y riesgos
Los proxies maliciosos como los que ofrece REM Proxy son herramientas clave para los ciberdelincuentes. Sirven para:
Redirigir tráfico malicioso: Facilitan ataques como phishing , fuerza bruta y movimientos laterales.
Ocultar la infraestructura: Ayudan a los operadores de ransomware u otro malware a permanecer en el anonimato.
Facilitar operaciones a gran escala: Se observará que un solo servidor infectado podría manejar más de 16 GB de tráfico malicioso en 24 horas, lo que demuestra la capacidad de la red para operaciones masivas.
Recomendaciones
Monitorea tus VPS: Si gestionas o alquilas VPS, revisa los registros de acceso y los procesos en busca de actividad inusual. Usa herramientas para detectar tráfico proxy no autorizado.
Aplicación parches de inmediato: Mantén tus servidores actualizados para cerrar las vulnerabilidades conocidas.
Restringe el acceso: Limita las conexiones entrantes, deshabilita servicios innecesarios y usa firewalls para bloquear puertos que no se utilizan.
Segrega tus tareas: Evita usar los VPS para múltiples funciones críticas si no están bien protegidos y mantén entornos separados para servicios de producción y tareas sensibles.
