RUBYCARP Botnet

Un grup de amenințări cunoscut sub numele de RUBYCARP a fost detectat care operează o rețea botnet persistentă pentru desfășurarea minării cripto, a refuzului de serviciu distribuit (DDoS) și a atacurilor de tip phishing. Cercetătorii consideră că RUBYCARP are origine românească.

Activ de cel puțin un deceniu, RUBYCARP își folosește botnetul în primul rând pentru câștiguri financiare. Modul lor de operare implică implementarea unei rețele bot prin diverse exploatări publice și tehnici brute-force. Grupul comunică prin intermediul rețelelor IRC publice și private.

Descoperirile inițiale sugerează o potențială suprapunere între RUBYCARP și o altă entitate de amenințare numită Outlaw. Outlaw are o experiență de implicare în mining criptografic și atacuri cu forță brută, dar recent și-a mutat atenția către campanii de phishing și spear-phishing pentru a-și lărgi sfera țintelor.

RUBYCARP poate să-și extindă metodele de atac

Aceste e-mailuri de tip phishing îi atrag frecvent pe destinatari să divulge informații private, cum ar fi datele de conectare sau detaliile financiare. Un alt aspect demn de remarcat al tacticii RUBYCARP implică folosirea unui malware cunoscut sub numele de ShellBot (recunoscut și ca PerlBot) pentru a se infiltra în mediile țintă. În plus, au fost observați exploatând vulnerabilități de securitate în cadrul Laravel Framework (de exemplu, CVE-2021-3129), o metodă utilizată și de alți actori de amenințări precum AndroxGh0st .

Într-o indicație a atacatorilor și-au extins gama de tehnici de acces inițial pentru a extinde scara rețelei botnet, cercetătorii au dezvăluit cazuri de site-uri WordPress compromise prin nume de utilizator și parole utilizate în mod obișnuit.

La intrare, o ușă din spate este implantată pe baza unei amenințări cunoscută sub numele de Perl ShellBot. Ulterior, serverul victimei este conectat la un server IRC (Internet Relay Chat) care funcționează ca Command-and-Control (C2), integrându-se în rețeaua botnet mai mare.

Dimensiunea rețelei botnet este estimată să depășească 600 de gazde, cu serverul IRC ('chat.juicessh.pro') înființat la 1 mai 2023. Se bazează în mare măsură pe IRC pentru comunicarea generală, precum și pentru orchestrarea rețelelor botnet și coordonarea operațiunilor de criptomining.

Mai mult, membrii grupului au fost identificați comunicând prin intermediul unui canal IRC Undernet numit #cristi. În plus, folosesc un instrument de scanare în masă pentru a identifica noi gazde potențiale.

Criminalii cibernetici RUBYCARP exploatează numeroase fluxuri de venituri frauduloase

Apariția RUBYCARP în peisajul amenințărilor cibernetice este o mică surpriză, având în vedere capacitatea lor de a-și valorifica botnetul pentru a accesa diverse fluxuri ilicite de venituri, inclusiv operațiunile de criptomine și phishing care vizează colectarea numerelor de carduri de credit.

După cum au descoperit cercetătorii, criptominingul a fost motivația principală a grupului de criminalitate cibernetică încă de la începuturile sale. În timp ce grupul și-a evoluat tacticile, ramificându-se în activități precum phishing și atacuri DDoS, criptominingul a rămas o activitate constantă de-a lungul istoriei sale.

Deși se pare că datele colectate ale cardurilor de credit sunt utilizate în primul rând pentru a achiziționa infrastructură de atac, sunt posibile și mijloace alternative de monetizare, cum ar fi vânzarea informațiilor în cadrul criminalității cibernetice subterane.

În plus, actorii amenințărilor sunt implicați în dezvoltarea și vânzarea de arme cibernetice, o practică relativ neobișnuită. Cu un arsenal vast de instrumente acumulat de-a lungul anilor, aceștia posedă o flexibilitate semnificativă în executarea operațiunilor lor.