RUBYCARP robotų tinklas

Aptikta grėsmių grupė, žinoma kaip RUBYCARP, naudojanti nuolatinį robotų tinklą, skirtą kriptovaliutų gavybai, paskirstytam paslaugų atsisakymo (DDoS) ir sukčiavimo išpuoliams. Mokslininkai mano, kad RUBYCARP yra rumunų kilmės.

Veikdama mažiausiai dešimtmetį, RUBYCARP savo robotų tinklą naudoja pirmiausia siekdama finansinės naudos. Jų veikimo būdas apima botneto diegimą naudojant įvairius viešus išnaudojimus ir brutalios jėgos metodus. Grupė bendrauja tiek viešaisiais, tiek privačiais IRC tinklais.

Pirminės išvados rodo galimą RUBYCARP ir kito grėsmės subjekto, pavadinto Outlaw, sutapimą. „Outlaw“ turi patirties kriptovaliutų gavybos ir žiaurios jėgos atakų srityje, tačiau pastaruoju metu daugiau dėmesio skyrė sukčiavimo ir sukčiavimo kampanijoms, kad išplėstų savo taikinių sritį.

RUBYCARP gali išplėsti savo puolimo metodus

Šie sukčiavimo el. laiškai dažnai vilioja gavėjus atskleisti privačiai priklausančią informaciją, pvz., prisijungimo duomenis ar finansinę informaciją. Kitas svarbus RUBYCARP taktikos aspektas yra kenkėjiškos programos, žinomos kaip „ShellBot“ (taip pat žinomos kaip „PerlBot“), naudojimas, siekiant įsiskverbti į tikslines aplinkas. Be to, buvo pastebėta, kad jie naudojasi „Laravel Framework“ saugumo spragomis (pvz., CVE-2021-3129), šį metodą naudoja ir kiti grėsmės veikėjai, tokie kaip AndroxGh0st .

Nurodydami, kad užpuolikai plečia savo pradinės prieigos metodus, kad išplėstų botneto mastą, mokslininkai atskleidė atvejus, kai „WordPress“ svetainės buvo pažeistos dėl dažnai naudojamų naudotojų vardų ir slaptažodžių.

Patekus į vidų, pagal grėsmę, žinomą kaip Perl ShellBot, implantuojamos užpakalinės durys. Vėliau aukos serveris yra susietas su IRC (Internet Relay Chat) serveriu, veikiančiu kaip Command-and-Control (C2), integruojantis į didesnį robotų tinklą.

Apskaičiuota, kad botneto dydis viršija 600 prieglobų, o IRC serveris („chat.juicessh.pro“) buvo įkurtas 2023 m. gegužės 1 d. Jis labai priklauso nuo IRC bendram ryšiui, taip pat robotų tinklų organizavimui ir šifravimo operacijų koordinavimui.

Be to, buvo nustatyta, kad grupės nariai bendrauja per Undernet IRC kanalą, pavadintą #cristi. Be to, jie naudoja masinio skaitytuvo įrankį potencialiems naujiems pagrindiniams kompiuteriams nustatyti.

RUBYCARP kibernetiniai nusikaltėliai išnaudoja daugybę apgaulingų pajamų srautų

RUBYCARP atsiradimas kibernetinių grėsmių aplinkoje nieko nestebina, atsižvelgiant į jų gebėjimą panaudoti savo robotų tinklą, kad pasiektų įvairius neteisėtus pajamų srautus, įskaitant šifravimo ir sukčiavimo operacijas, kuriomis siekiama surinkti kredito kortelių numerius.

Kaip atskleidė mokslininkai, šifravimas buvo pagrindinė kibernetinių nusikaltimų grupės motyvacija nuo pat pirmųjų dienų. Nors grupė tobulino savo taktiką, išsišakodama į tokias veiklas kaip sukčiavimas ir DDoS atakos, šifravimas išliko nuoseklus per visą jos istoriją.

Nors atrodo, kad surinkti kredito kortelių duomenys pirmiausia naudojami atakų infrastruktūrai įgyti, galimos ir alternatyvios pinigų gavimo priemonės, pavyzdžiui, informacijos pardavimas kibernetinių nusikaltimų pogrindyje.

Be to, grėsmės subjektai užsiima kibernetinių ginklų kūrimu ir pardavimu – tai gana neįprasta praktika. Per daugelį metų sukauptas didžiulis įrankių arsenalas, todėl jie turi didelį lankstumą vykdydami savo operacijas.