SystemBC: ботнет на VPS — 80 C2, 1500 жертв

Команда Black Lotus Labs из Lumen Technologies опубликовала подробный отчет о ботнете SystemBC, который выявляет нетипичную для подобных прокси-сетей тактику — массовое использование скомпрометированных VPS крупных провайдеров для организации проксирования и генерации больших объемов трафика. Исследование показывает устойчивую активность ботнета и потенциальные риски для инфраструктур провайдеров и их клиентов.

Ключевые факты

• В инфраструктуру SystemBC входит более 80 серверов командования и контроля (C2s).
• Ежедневно ботнет затрагивает в среднем около 1500 жертв.
• Примерно 80% жертв — скомпрометированные VPS крупных коммерческих провайдеров.
• Аналитики наблюдали в среднем 1500 активных ботов в исследуемый период, в том числе около 300, подключённых к ботнету GoBrut.

Что нового в тактике атак

Вместо привычного для прокси-сетей использования стационарных устройств (SOHO), SystemBC ориентируется на VPS — более стабильные и высокопропускные серверы. Это дает несколько преимуществ злоумышленникам:

• высокая пропускная способность и стабильность соединения;
• возможность генерировать объемы трафика, значительно превышающие обычные ограничения прокси-сетей (в отдельных случаях — более 16 ГБ трафика с одного IP за 24 часа);
• меньший риск случайного обнаружения со стороны конечных пользователей, по сравнению с массовым использованием домашних устройств;
• обход ограничений и черных списков, характерных для стационарных устройств, за счёт ресурсоемкости VPS.

Инфраструктура и операционные особенности

Анализ показал, что пользователи подключаются к C2s SystemBC через порты с высокими номерами, а далее трафик маршрутизируется через скомпрометированные VPS-жертвы. Такая архитектура делает ботнет легко интегрируемым в более широкую криминальную экосистему и позволяет быстро масштабировать прокси‑услуги для других преступных операций.

«Использование VPS вместо SOHO-устройств позволяет операторам SystemBC поддерживать значительные объёмы вредоносного трафика, жертвуя при этом частью скрытности», — отмечают исследователи Black Lotus Labs.

Экономика и эволюция угрозы

Изначально связанный с операциями программ-вымогателей, SystemBC эволюционировал в платформу, которую можно использовать для «постройки» и продажи специализированных ботнет-инфраструктур. Акцент на высокой пропускной способности и тактиках грубой силы отличает его от более скрытных и ориентированных на длительное скрытное присутствие ботнетов на базе SOHO.

Последствия и рекомендации

Устойчивость и относительная долговечность SystemBC указывают на постоянную угрозу. Основные выводы и практические рекомендации:

• провайдерам VPS — усилить мониторинг нетипичной генерации исходящего трафика и внедрять механизмы быстрой изоляции скомпрометированных инстансов;
• организациям и пользователям — отслеживать аномалии исходящего трафика и своевременно реагировать на инциденты безопасности;
• правоохранительным органам — учитывать тенденцию к коммерциализации доступа к ботнет-инфраструктурам при расследованиях связанных преступлений;
• сообществу кибербезопасности — продолжать обмен индикаторами компрометации и тактиками обнаружения, учитывая специфику использования VPS и высоких портов.

Вывод

SystemBC представляет собой пример того, как преступники адаптируют свои инструменты под инфраструктуру облачной и хостинговой индустрии. Переход от SOHO‑инициированных прокси к масштабным VPS‑решениям позволяет достигать новых объёмов вредоносного трафика и требует от провайдеров и специалистов по безопасности оперативных и скоординированных мер по обнаружению и нейтрализации угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.