Red de bots Ebury
Una botnet de malware llamada Ebury se ha infiltrado en alrededor de 400.000 servidores Linux desde 2009, y más de 100.000 servidores seguían comprometidos a finales de 2023. Los expertos en ciberseguridad reconocen esta botnet como una de las campañas de malware del lado del servidor más sofisticadas destinadas a obtener ganancias financieras.
Los actores detrás de Ebury han participado en diversas actividades de monetización, como distribuir spam, redirigir el tráfico web y robar credenciales. Además, están involucrados en el robo de criptomonedas mediante ataques Man-in-the-Middle (MitM) y el robo de tarjetas de crédito mediante la interceptación del tráfico de la red, una técnica comúnmente conocida como skimming web del lado del servidor.
Tabla de contenido
Los ciberdelincuentes quedaron atrapados operando la botnet Ebury
Ebury surgió hace más de diez años durante la Operación Windigo, una campaña destinada a comprometer los servidores Linux. Esta operación implementó Ebury junto con otras herramientas como Cdorked y Calfbot para redirigir el tráfico web y enviar spam. En agosto de 2017, Maxim Senakh, un ciudadano ruso, fue sentenciado a casi cuatro años de prisión en Estados Unidos por su participación en el desarrollo y mantenimiento de la botnet Ebury.
Senakh y sus asociados utilizaron la botnet Ebury para manipular el tráfico de Internet para diversos esquemas de fraude de clics y correo electrónico no deseado, según el Departamento de Justicia de Estados Unidos. Esto resultó en ingresos fraudulentos por valor de millones de dólares. Como parte de su declaración, Senakh confesó haber apoyado la empresa criminal al crear cuentas con registradores de dominios para expandir la infraestructura de la botnet Ebury y beneficiarse personalmente del tráfico generado por ella.
Los dispositivos infectados por la botnet Ebury a través de numerosos vectores diferentes
Una investigación ha revelado múltiples tácticas empleadas por los atacantes para distribuir Ebury, incluido el robo de credenciales SSH, el relleno de credenciales, la infiltración en la infraestructura del proveedor de alojamiento, la explotación de vulnerabilidades como la falla CVE-2021-45467 del Panel web de control y la realización de intermediarios SSH ( MitM) ataques.
Además, se ha observado que los actores de amenazas utilizan identidades falsas o robadas para ocultar sus actividades. Han comprometido la infraestructura utilizada por otros actores maliciosos, implementando el malware Ebury para lograr sus objetivos y confundiendo los esfuerzos para rastrearlos.
Por ejemplo, los atacantes comprometieron los servidores responsables de recopilar datos de Vidar Stealer. Utilizaron identidades robadas adquiridas a través de Vidar Stealer para alquilar infraestructura de servidores y llevar a cabo actividades, engañando intencionalmente a las autoridades. En otro caso, se utilizó Ebury para violar el sistema de uno de los autores de la botnet Mirai , obteniendo el código antes de su publicación.
Los atacantes utilizaron Ebury para entregar cargas útiles amenazantes adicionales
El malware opera como una puerta trasera y un ladrón de credenciales SSH, lo que permite a los atacantes introducir cargas útiles adicionales como HelimodSteal, HelimodProxy y HelimodRedirect, ampliando así su alcance dentro de las redes comprometidas. La versión más reciente de Ebury identificada es la 1.8.2.
Estas herramientas están orientadas a monetizar los servidores comprometidos a través de diversos medios. Las estrategias de monetización incluyen el robo de información de tarjetas de crédito, el robo de criptomonedas, la redirección de tráfico, la difusión de spam y el robo de credenciales.
HelimodSteal, HelimodRedirect y HelimodProxy funcionan como módulos de servidor HTTP para interceptar solicitudes HTTP POST, redirigir el tráfico HTTP a anuncios y tráfico proxy para la distribución de spam. El grupo también utiliza un módulo del kernel llamado KernelRedirect, que emplea un enlace Netfilter para modificar el tráfico HTTP y habilitar la redirección. HelimodSteal está diseñado específicamente para capturar datos de tarjetas de crédito enviados a tiendas en línea, actuando como un skimmer web del lado del servidor para extraer esta información confidencial de los servidores infectados.
Los atacantes también aprovechan el software para ocultar y permitir el tráfico malicioso a través de firewalls, junto con scripts Perl, para ataques de intermediario a gran escala dentro de los centros de datos de los proveedores de alojamiento. Apuntan a activos valiosos para robar criptomonedas de billeteras.
