Peste 10.000 de servere compromise cu o nouă variantă Linux a malware-ului SystemBC

O amenințare cibernetică majoră a fost descoperită recent: peste 10.000 de adrese IP unice au fost identificate ca fiind infectate cu o variantă complet nouă, necunoscută anterior, a malware-ului SystemBC, adaptată special pentru sisteme Linux.

Descoperirea a fost realizată de cercetători în securitate cibernetică, care au identificat o rețea masivă de servere compromise transformate în proxy-uri pentru activități infracționale, inclusiv atacuri ransomware și atacuri asupra site-urilor WordPress.

Ce este SystemBC și de ce este periculos?

SystemBC este un Remote Access Trojan (RAT) folosit în principal pentru:

• redirecționarea traficului prin sisteme compromise (proxy / SOCKS5),

• menținerea accesului persistent în rețelele victimei,

• facilitarea altor atacuri, inclusiv ransomware sau malware suplimentar.

Prezența SystemBC pe un server este, de multe ori, un indicator al unui compromis mult mai larg, nu doar o infecție izolată.

Ce aduce nou această variantă Linux?

Noua versiune de SystemBC marchează o evoluție importantă:

• este concepută exclusiv pentru Linux

• este extrem de discretă și greu de detectat

• niciunul dintre cele 62 de motoare antivirus analizate pe VirusTotal nu a detectat malware-ul la momentul descoperirii

• este folosită în principal pe servere de hosting, nu pe rețele rezidențiale

Această abordare oferă atacatorilor IP-uri stabile, ideale pentru operațiuni pe termen lung.

Dimensiunea botnet-ului

Datele analizate arată o amploare îngrijorătoare:

• 🔢 10.340 de adrese IP distincte într-un singur cluster

• 📊 aproximativ 3.000 de IP-uri active zilnic

• ⏱️ durata medie a unei infecții: 38 de zile

• ⚠️ unele servere au rămas infectate peste 100 de zile

Infecțiile sunt distribuite global, cu cele mai multe cazuri în:

Statele Unite, Germania, Franța, Singapore și India.

Furnizori de hosting afectați

Majoritatea IP-urilor compromise aparțin unor platforme mari de hosting, inclusiv:

• Namecheap

• GoDaddy

• IONOS

• Amazon (AWS)

• OVH

• Hetzner

• DigitalOcean

Acest lucru confirmă faptul că infrastructura de hosting este o țintă prioritară, nu utilizatorii casnici.

Servere guvernamentale compromise

Printre serverele infectate au fost identificate și domenii guvernamentale, inclusiv:

• un site oficial al administrației provinciale din Vietnam

• un domeniu asociat Guvernului din Burkina Faso

Aceste exemple arată că nici instituțiile publice nu sunt imune la astfel de atacuri.

De ce este greu de oprit acest malware?

Deși infrastructura SystemBC a suferit lovituri serioase în 2024 (inclusiv confiscări de servere și domenii), dezvoltarea malware-ului nu a încetinit.

Se observă constant:

• versiuni modificate,

• cod rescris pentru evitare detectare,

• infrastructură de comandă și control „bulletproof”.

Ce înseamnă asta pentru administratori și companii?

🔴 Antivirusul clasic NU este suficient

🔴 Linux nu este „imun” la malware

🔴 Serverele WordPress sunt ținte frecvente

Semnele unui posibil compromis includ:

• conexiuni outbound neobișnuite,

• trafic proxy/SOCKS neautorizat,

• procese persistente fără explicație,

• reinfectări recurente după „curățare”.

Concluzia ZebraByte

Acest incident demonstrează clar că:

La ZebraByte, punem accent pe:

• monitorizare de rețea și trafic outbound,

• detectarea comportamentală,

• protecție avansată pentru servere Linux și WordPress,

• prevenție, nu doar reacție.

Dacă serverele tale sau ale clienților tăi nu sunt monitorizate activ, există riscul ca ele să fie deja parte dintr-un botnet fără să știi.