RUBYCARP-bottiverkko

RUBYCARP-niminen uhkaryhmä on havaittu käyttävän jatkuvaa botnet-verkkoa salauslouhintaan, hajautettuun palvelunesto- (DDoS) ja tietojenkalasteluhyökkäysten suorittamiseen. Tutkijat uskovat, että RUBYCARP on romanialaista alkuperää.

RUBYCARP, joka on toiminut vähintään kymmenen vuoden ajan, käyttää botnet-verkkoaan ensisijaisesti taloudellisiin voittoihin. Heidän toimintatapansa sisältää bottiverkon käyttöönoton useiden julkisten hyväksikäyttöjen ja brute-force-tekniikoiden avulla. Ryhmä kommunikoi sekä julkisten että yksityisten IRC-verkkojen kautta.

Alkuperäiset havainnot viittaavat mahdolliseen päällekkäisyyteen RUBYCARPin ja toisen uhkakokonaisuuden, nimeltä Outlaw, välillä. Outlawilla on kokemusta salauslouhinnasta ja raa'an voiman hyökkäyksistä, mutta se on viime aikoina siirtänyt huomionsa tietojenkalastelu- ja keihäs-phishing-kampanjoihin laajentaakseen kohdealueitaan.

RUBYCARP saattaa laajentaa hyökkäysmenetelmiään

Nämä tietojenkalasteluviestit houkuttelevat vastaanottajia usein paljastamaan yksityisomistuksessa olevia tietoja, kuten kirjautumistietoja tai taloudellisia tietoja. Toinen huomionarvoinen puoli RUBYCARPin taktiikoissa on ShellBot -nimisen haittaohjelman (tunnetaan myös nimellä PerlBot) käyttäminen kohdeympäristöihin tunkeutumiseen. Lisäksi heidän on havaittu hyödyntävän Laravel Frameworkin tietoturva-aukkoja (esim. CVE-2021-3129), jota myös muut uhkatoimijat, kuten AndroxGh0st , käyttävät hyväkseen.

Osoituksena siitä, että hyökkääjät ovat laajentaneet alkupääsytekniikoitaan laajentaakseen bottiverkon mittakaavaa, tutkijat ovat paljastaneet tapauksia, joissa WordPress-sivustot ovat vaarantuneet yleisesti käytettyjen käyttäjätunnusten ja salasanojen kautta.

Kun sisään pääsee, takaovi istutetaan Perl ShellBot -nimellä tunnetun uhan perusteella. Myöhemmin uhrin palvelin on linkitetty IRC-palvelimeen (Internet Relay Chat), joka toimii Command-and-Control (C2) -palvelimena ja integroituu suurempaan botnet-verkkoon.

Bottiverkon koon arvioidaan ylittävän 600 isäntää, ja IRC-palvelin ('chat.juicessh.pro') perustettiin 1. toukokuuta 2023. Se on vahvasti riippuvainen IRC:stä yleisessä viestinnässä sekä bottiverkkojen organisoinnissa ja kryptominointitoimintojen koordinoinnissa.

Lisäksi on tunnistettu ryhmän jäseniä, jotka kommunikoivat Undernet IRC -kanavan kautta nimeltä #cristi. Lisäksi he käyttävät massaskannerityökalua mahdollisten uusien isäntien tunnistamiseen.

RUBYCARP-verkkorikolliset käyttävät hyväkseen lukuisia petollisia tulovirtoja

RUBYCARPin ilmestyminen kyberuhkien ympäristöön ei ole mikään yllätys, kun otetaan huomioon niiden kyky hyödyntää botnet-verkkoaan päästäkseen käsiksi erilaisiin laittomiin tulovirtoihin, mukaan lukien kryptominointi- ja tietojenkalasteluoperaatiot, joiden tarkoituksena on kerätä luottokorttien numeroita.

Kuten tutkijat ovat paljastaneet, kryptominointi on ollut kyberrikollisryhmän ensisijainen motivaatio sen alkuajoista lähtien. Vaikka ryhmä on kehittänyt taktiikkaansa ja haaroittunut sellaisiin toimiin kuin tietojenkalastelu ja DDoS-hyökkäykset, kryptominointi on pysynyt johdonmukaisena harrastuksena koko sen historian.

Vaikka näyttää siltä, että kerättyjä luottokorttitietoja käytetään ensisijaisesti hyökkäysinfrastruktuurin hankkimiseen, myös vaihtoehtoiset rahallistamiskeinot, kuten tietojen myyminen kyberrikollisuuden maan alla, ovat mahdollisia.

Lisäksi uhkatoimijat kehittävät ja myyvät kyberaseita, mikä on suhteellisen harvinainen käytäntö. Vuosien varrella kertyneen valtavan työkaluarsenaalin ansiosta heillä on huomattavaa joustavuutta toimintojensa suorittamisessa.