Ebury Botnet
Um malware botnet chamado Ebury se infiltrou em cerca de 400.000 servidores Linux desde 2009, com mais de 100.000 servidores permanecendo comprometidos no final de 2023. Este botnet é reconhecido por especialistas em segurança cibernética como uma das mais sofisticadas campanhas de malware do lado do servidor visando ganhos financeiros.
Os autores por trás do Ebury envolveram-se em diversas atividades de monetização, como distribuição de spam, redirecionamento de tráfego da Web e roubo de credenciais. Além disso, eles estão envolvidos em roubo de criptomoedas por meio de ataques Man-in-the-Middle (MitM) e roubo de cartão de crédito por meio de interceptação de tráfego de rede, uma técnica comumente chamada de web skimming do lado do servidor.
Índice
Os Cibercriminosos foram Pegos Operando o Ebury Botnet
O Ebury surgiu há mais de dez anos durante a Operação Windigo, uma campanha que visa comprometer servidores Linux. Esta operação implantou o Ebury junto com outras ferramentas como Cdorked e Calfbot para redirecionar o tráfego da web e enviar spam. Em agosto de 2017, Maxim Senakh, cidadão russo, foi condenado a quase quatro anos de prisão nos EUA pelo seu envolvimento no desenvolvimento e manutenção da Ebury botnet.
Senakh e seus associados utilizaram o botnet Ebury para manipular o tráfego da Internet para vários esquemas de fraude de cliques e spam de e-mail, de acordo com o Departamento de Justiça dos EUA. Isso resultou em receitas fraudulentas no valor de milhões de dólares. Como parte do seu apelo, Senakh confessou apoiar a empresa criminosa através da criação de contas com registadores de domínio para expandir a infraestrutura da botnet Ebury e lucrou pessoalmente com o tráfego gerado por ela.
O Ebury Botnet Infectou Dispositivos Usando Vários Vetores Diferentes
Uma investigação revelou várias táticas empregadas por invasores para distribuir o Ebury, incluindo roubo de credenciais SSH, preenchimento de credenciais, infiltração na infraestrutura do provedor de hospedagem, exploração de vulnerabilidades como a falha CVE-2021-45467 do Control Web Panel e condução de SSH man-in-the-middle ( MitM) ataques.
Além disso, foram observados agentes de ameaças usando identidades falsas ou roubadas para ocultar suas atividades. Eles comprometeram a infraestrutura usada por outros atores maliciosos, implantando o malware Ebury para atingir seus objetivos e confundindo os esforços para rastreá-los.
Por exemplo, os invasores comprometeram os servidores responsáveis pela coleta de dados do Vidar Stealer. Eles usaram identidades roubadas adquiridas por meio do Vidar Stealer para alugar infraestrutura de servidores e realizar atividades, enganando intencionalmente as autoridades. Em outro caso, o Ebury foi usado para violar o sistema de um dos autores do botnet Mirai, obtendo o código antes de seu lançamento público.
Os Invasores Utilizaram o Ebury para Entregar Cargas Adicionais Ameaçadoras
O malware opera como um backdoor e ladrão de credenciais SSH, permitindo que os invasores introduzam cargas adicionais como o HelimodSteal, HelimodProxy e HelimodRedirect, ampliando assim seu alcance nas redes comprometidas. A versão mais recente do Ebury identificada é 1.8.2.
Essas ferramentas são voltadas para monetizar os servidores comprometidos por diversos meios. As estratégias de monetização incluem roubo de informações de cartão de crédito, roubo de criptomoedas, redirecionamento de tráfego, disseminação de spam e roubo de credenciais.
O HelimodSteal, HelimodRedirect e HelimodProxy funcionam como módulos de servidor HTTP para interceptar solicitações HTTP POST, redirecionar o tráfego HTTP para anúncios e tráfego proxy para distribuição de spam. O grupo também utiliza um módulo de kernel chamado KernelRedirect, empregando um gancho Netfilter para modificar o tráfego HTTP e permitir o redirecionamento. O HelimodSteal foi projetado especificamente para capturar dados de cartão de crédito enviados a lojas online, agindo como um skimmer do lado do servidor para extrair essas informações confidenciais de servidores infectados.
Os invasores também utilizam software para ocultar e permitir tráfego malicioso através de firewalls, juntamente com scripts Perl, para ataques man-in-the-middle em grande escala nos data centers dos provedores de hospedagem. Eles visam ativos valiosos para roubar criptomoedas de carteiras.
