Red de bots RUBYCARP

Se ha detectado un grupo de amenazas conocido como RUBYCARP operando una botnet persistente para realizar minería criptográfica, denegación de servicio distribuido (DDoS) y ataques de phishing. Los investigadores creen que RUBYCARP es de origen rumano.

RUBYCARP, activo desde hace al menos una década, utiliza su botnet principalmente para obtener ganancias financieras. Su modus operandi implica implementar una botnet mediante diversos exploits públicos y técnicas de fuerza bruta. El grupo se comunica a través de redes IRC públicas y privadas.

Los hallazgos iniciales sugieren una posible superposición entre RUBYCARP y otra entidad amenazante llamada Outlaw. Outlaw tiene un historial de participación en criptominería y ataques de fuerza bruta, pero recientemente ha cambiado su enfoque hacia campañas de phishing y Spearphishing para ampliar su alcance de objetivos.

RUBYCARP puede estar ampliando sus métodos de ataque

Estos correos electrónicos de phishing con frecuencia incitan a los destinatarios a divulgar información de propiedad privada, como credenciales de inicio de sesión o datos financieros. Otra faceta notable de las tácticas de RUBYCARP implica el empleo de un malware conocido como ShellBot (también reconocido como PerlBot) para infiltrarse en los entornos de destino. Además, se ha observado que explotan vulnerabilidades de seguridad dentro de Laravel Framework (p. ej., CVE-2021-3129), un método que también utilizan otros actores de amenazas como AndroxGh0st .

En una indicación de que los atacantes están ampliando su gama de técnicas de acceso inicial para ampliar la escala de la botnet, los investigadores han revelado casos de sitios de WordPress que han sido comprometidos a través de nombres de usuario y contraseñas de uso común.

Al ingresar, se implanta una puerta trasera basada en una amenaza conocida como Perl ShellBot. Posteriormente, el servidor de la víctima se vincula a un servidor IRC (Internet Relay Chat) que funciona como Comando y Control (C2), integrándose en la botnet más grande.

Se estima que el tamaño de la botnet supera los 600 hosts, y el servidor IRC ('chat.juicessh.pro') se estableció el 1 de mayo de 2023. Depende en gran medida del IRC para la comunicación general, así como para orquestar botnets y coordinar operaciones de criptominería.

Además, se ha identificado a miembros del grupo comunicándose a través de un canal IRC de Undernet llamado #cristi. Además, utilizan una herramienta de escaneo masivo para identificar posibles nuevos hosts.

Los ciberdelincuentes de RUBYCARP explotan numerosas fuentes de ingresos fraudulentas

La aparición de RUBYCARP en el panorama de las amenazas cibernéticas no es una sorpresa, dada su capacidad para aprovechar su botnet para acceder a diversas fuentes de ingresos ilícitos, incluidas operaciones de criptominería y phishing destinadas a recopilar números de tarjetas de crédito.

Como han descubierto los investigadores, la criptominería ha sido la principal motivación del grupo de delitos cibernéticos desde sus inicios. Si bien el grupo ha evolucionado sus tácticas, diversificándose en actividades como phishing y ataques DDoS, la criptominería ha seguido siendo una actividad constante a lo largo de su historia.

Aunque parece que los datos recopilados de tarjetas de crédito se utilizan principalmente para adquirir infraestructura de ataque, también son posibles medios alternativos de monetización, como vender la información en el ámbito clandestino del cibercrimen.

Además, los actores de amenazas participan en el desarrollo y venta de armas cibernéticas, una práctica relativamente poco común. Con un vasto arsenal de herramientas acumulado a lo largo de los años, poseen una flexibilidad significativa para ejecutar sus operaciones.