Il Malware SystemBC Trasforma i Server VPS in Proxy ad Alta Larghezza di Banda per i Criminali

Image by Kevin Horvat, from Unsplash

Il Malware SystemBC Trasforma i Server VPS in Proxy ad Alta Larghezza di Banda per i Criminali

Tempo di lettura: 3 Min.

Ultimo aggiornamento: Sep 20, 2025

Le ricercatrici hanno rivelato che il botnet SystemBC trasforma i server VPS in server proxy per operazioni criminali che includono attacchi REM Proxy e ransomware in tutto il mondo.

Sei di fretta? Ecco i fatti essenziali:

  • Il botnet SystemBC compromette circa 1.500 sistemi al giorno, principalmente server VPS.
  • REM Proxy vende proxy a livelli, inclusi i router Mikrotik, ad attori criminali.
  • Quasi l’80% dei sistemi infetti proviene da cinque grandi fornitori di VPS.

La società di cybersecurity Lumen Technologies ha scoperto nuovi dettagli riguardo al botnet “SystemBC”. Questa vasta rete di oltre 80 server di comando e controllo (C2), si è riscontrata aver compromesso circa 1.500 sistemi al giorno. I ricercatori affermano che quasi l’80% di queste vittime sono server privati virtuali (VPS) forniti da importanti provider.

“Manipolando i sistemi VPS invece dei dispositivi nello spazio IP residenziale, come è tipico nelle reti proxy basate su malware, SystemBC può offrire proxy con enormi quantità di volume per periodi di tempo più lunghi”, hanno detto i ricercatori.

I ricercatori spiegano che questi sistemi VPS infetti funzionano come server proxy, generando enormi quantità di traffico dannoso che le organizzazioni criminali utilizzano per condurre le loro operazioni.

Il botnet supporta anche REM Proxy, una vasta rete di marketing che comprende 20.000 router Mikrotik e altri proxy aperti.

Lumen spiega che REM Proxy funziona come un servizio proxy che supporta gruppi di ransomware, come Morpheus e TransferLoader, offrendo diversi servizi proxy che includono opzioni veloci e stealth, oltre a indirizzi IP convenienti per il cracking delle password.

“SystemBC ha mostrato un’attività costante e una resistenza operativa attraverso diversi anni”, ha detto Lumen, notando che il malware originariamente documentato nel 2019 rimane uno strumento chiave per i gruppi criminali. Ogni server infetto presenta in media 20 vulnerabilità non corrette, con alcuni che ne mostrano oltre 160.

Il malware funziona come uno strumento proxy che permette agli aggressori di reindirizzare il traffico attraverso computer infetti. Gli operatori si concentrano sul volume piuttosto che sulla discrezione; in un test, un singolo IP ha generato più di 16 gigabyte di dati in 24 ore.

Lumen ha bloccato tutto il traffico verso e da SystemBC e l’infrastruttura REM Proxy attraverso la sua rete globale. I ricercatori hanno anche rilasciato indicatori di compromissione (IoCs) per aiutare gli altri a proteggersi.

“Continueremo a monitorare la nuova infrastruttura, l’attività di mira e l’espansione delle TTPs; e collaboreremo con la comunità di ricerca sulla sicurezza per condividere i risultati”, ha concluso il rapporto.

Hai apprezzato questo articolo?
Valutalo!
L'ho odiato Non mi è piaciuto Non male Molto bene! L'ho amato!

Siamo felici che ti sia piaciuto il nostro lavoro!

In qualità di stimato lettore, ti dispiacerebbe lasciare una recensione su Trustpilot? Richiede poco tempo e significa tantissimo per noi. Grazie mille!

Valutaci su Trustpilot
0 Votato da 0 utenti
Titolo
Commento
Grazie per la tua opinione!