RUBYCARP Botnet

Um grupo de ameaças conhecido como RUBYCARP foi detectado operando uma botnet persistente para conduzir mineração de criptografia, negação de serviço distribuída (DDoS) e ataques de phishing. Os pesquisadores acreditam que o RUBYCARP tem origem romena.

Ativo há pelo menos uma década, o RUBYCARP utiliza sua botnet principalmente para obter ganhos financeiros. Seu modus operandi envolve a implantação de uma botnet por meio de várias explorações públicas e técnicas de força bruta. O grupo se comunica através de redes de IRC públicas e privadas.

As descobertas iniciais sugerem uma potencial sobreposição entre o RUBYCARP e outra entidade de ameaça chamada Outlaw. Outlaw tem um histórico de envolvimento em mineração de criptografia e ataques de força bruta, mas recentemente mudou o foco para campanhas de phishing e spear-phishing para ampliar seu escopo de alvos.

O RUBYCARP pode estar Expandindo os Seus Métodos de Ataque

Esses e-mails de phishing frequentemente induzem os destinatários a divulgar informações de propriedade privada, como credenciais de login ou dados financeiros. Outra faceta digna de nota das táticas do RUBYCARP envolve o emprego de um malware conhecido como ShellBot (também conhecido como PerlBot) para se infiltrar nos ambientes alvo. Além disso, eles foram observados explorando vulnerabilidades de segurança no Laravel Framework (por exemplo, CVE-2021-3129), um método também utilizado por outros agentes de ameaças, como AndroxGh0st.

Em uma indicação de que os invasores estão ampliando sua gama de técnicas de acesso inicial para expandir a escala do botnet, os pesquisadores divulgaram casos de sites WordPress comprometidos por meio de nomes de usuário e senhas comumente usados.

Ao entrar, um backdoor é implantado com base em uma ameaça conhecida como Perl ShellBot. Posteriormente, o servidor da vítima é vinculado a um servidor IRC (Internet Relay Chat) que funciona como Comando e Controle (C2), integrando-se à botnet maior.

O tamanho do botnet é estimado em mais de 600 hosts, com o servidor IRC ('chat.juicessh.pro') estabelecido em 1º de maio de 2023. Ele depende fortemente do IRC para comunicação geral, bem como para orquestrar botnets e coordenar operações de criptomineração.

Além disso, membros do grupo foram identificados comunicando-se através de um canal de IRC da Undernet chamado #cristi. Além disso, eles utilizam uma ferramenta de varredura em massa para identificar novos hosts em potencial.

OsCibercriminosos do RUBYCARP Exploram Numerosos Fluxos de Renda Fraudulentos

O surgimento do RUBYCARP no cenário de ameaças cibernéticas não surpreende, dada a sua capacidade de aproveitar sua botnet para acessar vários fluxos de renda ilícitos, incluindo operações de criptomineração e phishing destinadas a coletar números de cartão de crédito.

Como os investigadores descobriram, a criptomineração tem sido a principal motivação do grupo de crimes cibernéticos desde os seus primórdios. Embora o grupo tenha evoluído suas táticas, ramificando-se em atividades como phishing e ataques DDoS, a criptomineração permaneceu uma atividade consistente ao longo de sua história.

Embora pareça que os dados recolhidos de cartões de crédito sejam utilizados principalmente para adquirir infra-estruturas de ataque, também são possíveis meios alternativos de monetização, como a venda de informações no submundo do crime cibernético.

Além disso, os atores da ameaça estão envolvidos no desenvolvimento e na venda de armas cibernéticas, uma prática relativamente incomum. Com um vasto arsenal de ferramentas acumuladas ao longo dos anos, possuem significativa flexibilidade na execução de suas operações.