Botnet RUBYCARP
È stato rilevato un gruppo di minacce noto come RUBYCARP che gestisce una botnet persistente per condurre mining di criptovalute, attacchi DDoS (Distributed Denial of Service) e attacchi di phishing. I ricercatori ritengono che RUBYCARP abbia origine rumena.
Attivo da almeno un decennio, RUBYCARP utilizza la sua botnet principalmente per guadagni finanziari. Il loro modus operandi prevede l'implementazione di una botnet attraverso vari exploit pubblici e tecniche di forza bruta. Il gruppo comunica attraverso reti IRC sia pubbliche che private.
I risultati iniziali suggeriscono una potenziale sovrapposizione tra RUBYCARP e un'altra entità minacciosa denominata Outlaw. Outlaw ha una lunga esperienza nel coinvolgimento nel mining di criptovalute e negli attacchi di forza bruta, ma recentemente ha spostato l'attenzione verso campagne di phishing e spear-phishing per ampliare la portata dei suoi obiettivi.
RUBYCARP potrebbe espandere i suoi metodi di attacco
Queste e-mail di phishing spesso inducono i destinatari a divulgare informazioni di proprietà privata, come credenziali di accesso o dettagli finanziari. Un altro aspetto degno di nota delle tattiche di RUBYCARP prevede l'utilizzo di un malware noto come ShellBot (riconosciuto anche come PerlBot) per infiltrarsi negli ambienti di destinazione. Inoltre, sono stati osservati mentre sfruttavano vulnerabilità di sicurezza all'interno del Laravel Framework (ad esempio, CVE-2021-3129), un metodo utilizzato anche da altri autori di minacce come AndroxGh0st .
A dimostrazione del fatto che gli aggressori stanno ampliando la loro gamma di tecniche di accesso iniziale per espandere la portata della botnet, i ricercatori hanno rivelato casi di siti WordPress compromessi attraverso nomi utente e password di uso comune.
Dopo aver ottenuto l'accesso, viene impiantata una backdoor basata su una minaccia nota come Perl ShellBot. Successivamente, il server della vittima viene collegato a un server IRC (Internet Relay Chat) che funziona come Command-and-Control (C2), integrandosi nella botnet più grande.
Si stima che le dimensioni della botnet superino i 600 host, con il server IRC ("chat.juicessh.pro") istituito il 1 maggio 2023. Fa molto affidamento su IRC per le comunicazioni generali, nonché per orchestrare le botnet e coordinare le operazioni di cryptomining.
Inoltre, i membri del gruppo sono stati identificati mentre comunicavano tramite un canale IRC Undernet denominato #cristi. Inoltre, utilizzano uno strumento di scansione di massa per identificare potenziali nuovi host.
RUBYCARP I criminali informatici sfruttano numerosi flussi di reddito fraudolenti
L'emergere di RUBYCARP nel panorama delle minacce informatiche non sorprende, data la sua capacità di sfruttare la propria botnet per accedere a vari flussi di reddito illeciti, comprese operazioni di cryptomining e phishing volte a raccogliere numeri di carte di credito.
Come hanno scoperto i ricercatori, il cryptomining è stata la motivazione principale del gruppo criminale informatico sin dai suoi esordi. Sebbene il gruppo abbia evoluto le proprie tattiche, ramificandosi in attività come phishing e attacchi DDoS, il cryptomining è rimasto un'attività costante nel corso della sua storia.
Sebbene sembri che i dati raccolti sulle carte di credito vengano utilizzati principalmente per acquisire infrastrutture di attacco, sono possibili anche mezzi alternativi di monetizzazione, come la vendita delle informazioni all’interno del crimine informatico clandestino.
Inoltre, gli autori delle minacce sono impegnati nello sviluppo e nella vendita di armi informatiche, una pratica relativamente rara. Con un vasto arsenale di strumenti accumulato nel corso degli anni, possiedono una notevole flessibilità nell'esecuzione delle loro operazioni.
