RUBYCARP Botnet

S'ha detectat un grup d'amenaces conegut com RUBYCARP que opera una botnet persistent per dur a terme mineria de criptomonedes, denegació de servei distribuïda (DDoS) i assalts de pesca. Els investigadors creuen que RUBYCARP té origen romanès.

Actiu durant un mínim d'una dècada, RUBYCARP utilitza la seva botnet principalment per obtenir guanys financers. El seu modus operandi consisteix a desplegar una botnet mitjançant diverses explotacions públiques i tècniques de força bruta. El grup es comunica a través de xarxes IRC tant públiques com privades.

Les troballes inicials suggereixen una possible superposició entre RUBYCARP i una altra entitat d'amenaça anomenada Outlaw. Outlaw té un historial de participació en la mineria criptogràfica i els atacs de força bruta, però recentment s'ha centrat en campanyes de phishing i spear phishing per ampliar el seu abast d'objectius.

RUBYCARP pot estar ampliant els seus mètodes d'atac

Aquests correus electrònics de pesca sovint indueixen els destinataris a divulgar informació de propietat privada, com ara credencials d'inici de sessió o dades financeres. Una altra faceta destacable de les tàctiques de RUBYCARP consisteix a emprar un programari maliciós conegut com ShellBot (també reconegut com a PerlBot) per infiltrar-se en entorns objectiu. A més, s'ha observat que exploten vulnerabilitats de seguretat dins del marc de Laravel (per exemple, CVE-2021-3129), un mètode que també utilitzen altres actors d'amenaça com AndroxGh0st .

En una indicació que els atacants amplien la seva gamma de tècniques d'accés inicial per ampliar l'escala de la botnet, els investigadors han revelat casos de llocs de WordPress compromesos mitjançant noms d'usuari i contrasenyes d'ús habitual.

En accedir, s'implanta una porta posterior basada en una amenaça coneguda com Perl ShellBot. Posteriorment, el servidor de la víctima està vinculat a un servidor IRC (Internet Relay Chat) que funciona com a Command-and-Control (C2), integrant-se a la botnet més gran.

S'estima que la mida de la botnet supera els 600 amfitrions, amb el servidor IRC ('chat.juicessh.pro') establert l'1 de maig de 2023. Depèn molt de l'IRC per a la comunicació general, així com per a l'orquestració de botnets i la coordinació d'operacions de criptomineria.

A més, s'han identificat membres del grup comunicant-se a través d'un canal IRC Undernet anomenat #cristi. A més, utilitzen una eina d'escàner massiu per identificar nous amfitrions potencials.

Els cibercriminals de RUBYCARP exploten nombrosos corrents d'ingressos fraudulents

L'aparició de RUBYCARP en el panorama de les amenaces cibernètiques no és una sorpresa, donada la seva capacitat d'aprofitar la seva botnet per accedir a diversos fluxos d'ingressos il·lícits, incloses les operacions de criptomineria i pesca destinades a recollir números de targetes de crèdit.

Tal com han descobert els investigadors, la criptomineria ha estat la principal motivació del grup de cibercrim des dels seus inicis. Tot i que el grup ha evolucionat les seves tàctiques, ramificant-se en activitats com ara atacs de pesca i DDoS, la criptomineria ha continuat sent una recerca constant al llarg de la seva història.

Tot i que sembla que les dades de les targetes de crèdit recopilades s'utilitzen principalment per adquirir infraestructura d'atac, també són possibles mitjans alternatius de monetització, com ara vendre la informació dins del cibercrim clandestin.

A més, els actors de l'amenaça es dediquen a desenvolupar i vendre armes cibernètiques, una pràctica relativament poc habitual. Amb un ampli arsenal d'eines acumulat al llarg dels anys, tenen una flexibilitat important a l'hora d'executar les seves operacions.