RUBYCARP Botnet

Një grup kërcënimi i njohur si RUBYCARP është zbuluar duke operuar një botnet të vazhdueshëm për kryerjen e minierave të kriptove, të shpërndara të mohimit të shërbimit (DDoS) dhe sulmeve të phishing. Studiuesit besojnë se RUBYCARP ka origjinë rumune.

Aktiv për një minimum prej një dekade, RUBYCARP përdor botnet-in e tij kryesisht për përfitime financiare. Mënyra e tyre e funksionimit përfshin vendosjen e një botnet përmes shfrytëzimeve të ndryshme publike dhe teknikave të forcës brutale. Grupi komunikon nëpërmjet rrjeteve publike dhe private IRC.

Gjetjet fillestare sugjerojnë një mbivendosje të mundshme midis RUBYCARP dhe një entiteti tjetër kërcënimi të quajtur Outlaw. Outlaw ka një histori të angazhimit në minierat e kriptove dhe sulmet me forcë brutale, por kohët e fundit ka zhvendosur fokusin drejt fushatave të phishing dhe spear-phishing për të zgjeruar fushën e tyre të objektivave.

RUBYCARP mund të jetë duke zgjeruar metodat e tij të sulmit

Këto emaile phishing shpesh tërheqin marrësit që të zbulojnë informacione në pronësi private, të tilla si kredencialet e hyrjes ose të dhënat financiare. Një tjetër aspekt i rëndësishëm i taktikave të RUBYCARP përfshin përdorimin e një malware të njohur si ShellBot (i njohur gjithashtu si PerlBot) për të depërtuar në mjediset e synuara. Për më tepër, ata janë vërejtur duke shfrytëzuar dobësitë e sigurisë brenda Kornizës Laravel (p.sh., CVE-2021-3129), një metodë e përdorur gjithashtu nga aktorë të tjerë kërcënimi si AndroxGh0st .

Në një tregues të sulmuesve që zgjerojnë grupin e tyre të teknikave fillestare të aksesit për të zgjeruar shkallën e botnet-it, studiuesit kanë zbuluar raste të vendeve të WordPress që janë komprometuar përmes emrave të përdoruesve dhe fjalëkalimeve të përdorura zakonisht.

Pas hyrjes, një derë e pasme implantohet bazuar në një kërcënim të njohur si Perl ShellBot. Më pas, serveri i viktimës lidhet me një server IRC (Internet Relay Chat) që funksionon si Command-and-Control (C2), duke u integruar në botnet-in më të madh.

Madhësia e botnet-it vlerësohet të tejkalojë 600 host, me serverin IRC ('chat.juicessh.pro') i krijuar më 1 maj 2023. Ai mbështetet shumë në IRC për komunikimin e përgjithshëm, si dhe për orkestrimin e botnet-eve dhe koordinimin e operacioneve të kriptominerimit.

Për më tepër, anëtarët e grupit janë identifikuar duke komunikuar përmes një kanali Undernet IRC të quajtur #cristi. Për më tepër, ata përdorin një mjet skaner masiv për të identifikuar hostet e rinj të mundshëm.

RUBYCARP Kriminelët kibernetikë shfrytëzojnë rrjedha të shumta të të ardhurave mashtruese

Shfaqja e RUBYCARP në peizazhin e kërcënimit kibernetik vjen si befasi e vogël, duke pasur parasysh aftësinë e tyre për të shfrytëzuar botnet-in e tyre për të hyrë në rrjedha të ndryshme të të ardhurave të paligjshme, duke përfshirë operacionet e kriptominimit dhe phishing që synojnë mbledhjen e numrave të kartave të kreditit.

Siç kanë zbuluar studiuesit, kriptominimi ka qenë motivimi kryesor i grupit të krimit kibernetik që në ditët e para. Ndërsa grupi ka evoluar taktikat e tij, duke u degëzuar në aktivitete të tilla si sulmet phishing dhe DDoS, kriptominimi ka mbetur një ndjekje e qëndrueshme gjatë gjithë historisë së tij.

Edhe pse duket se të dhënat e grumbulluara të kartës së kreditit përdoren kryesisht për të përvetësuar infrastrukturën e sulmit, mjetet alternative të fitimit të parave, si shitja e informacionit brenda krimit kibernetik në nëntokë, janë gjithashtu të mundshme.

Për më tepër, aktorët e kërcënimit janë të angazhuar në zhvillimin dhe shitjen e armëve kibernetike, një praktikë relativisht e pazakontë. Me një arsenal të madh mjetesh të grumbulluara gjatë viteve, ata kanë fleksibilitet të konsiderueshëm në ekzekutimin e operacioneve të tyre.