RUBYCARPi robotvõrk

Tuvastati ohurühm nimega RUBYCARP, mis haldab püsivat botnetti krüptokaevandamise, hajutatud teenusekeelu (DDoS) ja andmepüügirünnakute läbiviimiseks. Teadlased usuvad, et RUBYCARP on Rumeenia päritolu.

Vähemalt kümme aastat tegutsenud RUBYCARP kasutab oma botnetti peamiselt rahalise kasu saamiseks. Nende tööviis hõlmab botneti juurutamist erinevate avalike ärakasutamiste ja toore jõu tehnikate kaudu. Grupp suhtleb nii avalike kui ka privaatsete IRC võrkude kaudu.

Esialgsed leiud viitavad potentsiaalsele kattumisele RUBYCARPi ja teise ohuüksuse nimega Outlaw vahel. Outlaw'l on kogemusi krüptokaevandamise ja jõhkra jõuga rünnakute alal, kuid viimasel ajal on ta keskendunud andmepüügi- ja andmepüügikampaaniatele, et laiendada nende sihtmärkide ulatust.

RUBYCARP võib laiendada oma rünnakumeetodeid

Need andmepüügimeilid meelitavad sageli adressaate avaldama eraomanduses olevat teavet, nagu sisselogimisandmed või finantsandmed. Veel üks tähelepanuväärne tahk RUBYCARPi taktikas hõlmab ShellBoti nime all tuntud pahavara (tuntud ka kui PerlBot) kasutamist sihtkeskkondadesse imbumiseks. Lisaks on täheldatud, et nad kasutavad ära Laraveli raamistiku turvaauke (nt CVE-2021-3129), seda meetodit kasutavad ka teised ohus osalejad, nagu AndroxGh0st .

Viidates sellele, et ründajad laiendavad oma esialgseid juurdepääsutehnikaid, et laiendada botneti ulatust, on teadlased avalikustanud juhtumeid, kus WordPressi saite on sageli kasutatavate kasutajanimede ja paroolide kaudu ohustatud.

Sisse pääsemisel implanteeritakse tagauks, mis põhineb Perl ShellBoti nime all tuntud ohul. Seejärel seotakse ohvri server IRC-serveriga (Internet Relay Chat), mis toimib Command-and-Control (C2) ja integreerub suuremasse robotvõrku.

Botivõrgu suurus ületab hinnanguliselt 600 hosti, kusjuures IRC-server ('chat.juicessh.pro') asutati 1. mail 2023. See toetub suurel määral IRC-le nii üldiseks suhtluseks kui ka robotvõrkude korraldamiseks ja krüptomineerimistoimingute koordineerimiseks.

Lisaks on tuvastatud grupi liikmed, kes suhtlevad Underneti IRC kanali kaudu nimega #cristi. Lisaks kasutavad nad potentsiaalsete uute hostide tuvastamiseks massskanneri tööriista.

RUBYCARPi küberkurjategijad kasutavad ära paljusid petturlikke sissetulekuvooge

RUBYCARPi esilekerkimine küberohtude maastikul on väike üllatus, arvestades nende võimet kasutada oma robotvõrku, et pääseda juurde erinevatele ebaseaduslikele tuluvoogudele, sealhulgas krüpto- ja andmepüügioperatsioonidele, mille eesmärk on krediitkaardinumbrite kogumine.

Nagu teadlased on avastanud, on krüptoomimine olnud küberkuritegevuse grupi peamine motivatsioon selle algusaegadest peale. Kuigi rühm on oma taktikat edasi arendanud, hargnedes sellisteks tegevusteks nagu andmepüügi ja DDoS-i rünnakud, on krüptomineerimine jäänud järjekindlaks tegevuseks kogu selle ajaloo vältel.

Kuigi näib, et kogutud krediitkaardiandmeid kasutatakse peamiselt ründetaristu hankimiseks, on võimalikud ka alternatiivsed raha teenimise viisid, nagu näiteks teabe müümine küberkuritegevuse maa all.

Lisaks tegelevad ohus osalejad küberrelvade arendamise ja müügiga, mis on suhteliselt haruldane praktika. Aastate jooksul kogunenud tohutu tööriistaarsenali tõttu on neil oma toimingute tegemisel märkimisväärne paindlikkus.