Los investigadores de ESET publicaron su investigación profunda sobre una de las campañas de malware del lado del servidor más avanzadas. Sigue creciendo y ha visto cientos de miles de servidores comprometidos en sus al menos 15 años de funcionamiento.
El grupo Ebury y la botnet han estado involucrados en la propagación de spam, redirecciones de tráfico web y robo de credenciales a lo largo de los años. En los últimos años, se han diversificado hacia el robo de tarjetas de crédito y criptomonedas.
Además, Ebury se ha implementado como puerta trasera para comprometer casi 400.000 servidores Linux, FreeBSD y OpenBSD; a finales de 2023, más de 100.000 seguían comprometidos. En muchos casos, los operadores de Ebury podían obtener acceso completo a grandes servidores de ISP y proveedores de alojamiento conocidos.
Ebury, activo desde al menos 2009, es un ladrón de credenciales y puerta trasera OpenSSH. Se utiliza para implementar malware adicional para monetizar la botnet (como módulos para la redirección del tráfico web), tráfico proxy para spam, realizar ataques de adversario en el medio (AitM) y host que soporta infraestructura maliciosa. En ataques AitM, ESET ha observado más de 200 objetivos en más de 75 redes en 34 países entre febrero de 2022 y mayo de 2023.
Sus operadores han utilizado la botnet Ebury para robar carteras de criptomonedas, credenciales y datos de tarjetas de crédito. ESET ha descubierto nuevas familias de malware creadas e implementadas por la pandilla para obtener ganancias financieras, incluidos módulos Apache y un módulo del kernel para redirigir el tráfico web. Los operadores de Ebury también utilizaron vulnerabilidades de día cero en el software de administrador para comprometer servidores de forma masiva.
Una vez que un sistema se ve comprometido, se filtran varios detalles. Utilizando las contraseñas y claves conocidas obtenidas en ese sistema, las credenciales se reutilizan para intentar iniciar sesión en sistemas relacionados. Cada versión principal de Ebury introduce cambios importantes, nuevas características y técnicas de ofuscación.
“Hemos documentado casos en los que Ebury comprometió la infraestructura de los proveedores de hosting. En estos casos, hemos visto a Ebury implementarse en servidores alquilados por esos proveedores, sin avisar a los arrendatarios. Esto dio lugar a casos en los que los actores de Ebury pudieron comprometer miles de servidores a la vez”, afirma Marc-Etienne M. Léveillé , el investigador de ESET que investigó Ebury durante más de una década. No existe ningún límite geográfico para Ebury; Hay servidores comprometidos con Ebury en casi todos los países del mundo. Cada vez que un proveedor de alojamiento se veía comprometido, se producía una gran cantidad de servidores comprometidos en los mismos centros de datos.
Al mismo tiempo, ninguna vertical parece más específica que otras. Las víctimas incluyen universidades, pequeñas y grandes empresas, proveedores de servicios de Internet, comerciantes de criptomonedas, nodos de salida Tor, proveedores de alojamiento compartido y proveedores de servidores dedicados, por nombrar algunos.
A finales de 2019, la infraestructura de un gran y popular registrador de dominios y proveedor de alojamiento web con sede en EE. UU. se vio comprometida. En total, los atacantes vulneraron aproximadamente 2.500 servidores físicos y 60.000 servidores virtuales. Una gran parte, si no todos, de estos servidores se comparten entre varios usuarios para alojar los sitios web de más de 1,5 millones de cuentas. En otro incidente, Ebury comprometió un total de 70.000 servidores de ese proveedor de alojamiento en 2023. Kernel.org, que aloja el código fuente del kernel de Linux, también había sido víctima de Ebury.
“Ebury plantea una seria amenaza y un desafío para la comunidad de seguridad de Linux. No existe una solución sencilla que haga que Ebury sea ineficaz, pero se pueden aplicar algunas medidas de mitigación para minimizar su propagación e impacto. Una cosa a tener en cuenta es que esto no sólo les sucede a organizaciones o individuos que se preocupan menos por la seguridad. En la lista de víctimas se encuentran muchas personas muy conocedoras de la tecnología y grandes organizaciones”, concluye Léveillé.
Fuente y redacción: helpnetsecurity.com