Ebury está vivo: 400.000 servidores Linux comprometidos para robar criptomonedas

Noticias y Novedades

Una de las campañas de server-side malware más avanzadas sigue creciendo, con cientos de miles de servidores comprometidos, y se ha diversificado para incluir el robo de tarjetas de crédito y criptomonedas

 

Hace diez años dimos a conocer la existencia de Ebury con la publicación de un libro blanco titulado Operación Windigo, en el que documentábamos una campaña que aprovechaba el malware de Linux para obtener beneficios económicos. Hoy publicamos un documento de seguimiento sobre cómo ha evolucionado Ebury y las nuevas familias de malware que utilizan sus operadores para monetizar su red de bots de servidores Linux.

Hace diez años dimos a conocer la existencia de Ebury con la publicación de un libro blanco titulado Operación Windigo, en el que documentábamos una campaña que aprovechaba el malware de Linux para obtener beneficios económicos. Hoy publicamos un documento de seguimiento sobre cómo ha evolucionado Ebury y las nuevas familias de malware que utilizan sus operadores para monetizar su red de bots de servidores Linux.

 

La detención y condena de uno de los autores de Ebury a raíz de la Operación Windigo no impidió que la botnet siguiera expandiéndose. Ebury, la puerta trasera OpenSSH y ladrón de credenciales, seguía actualizándose, como informamos en 2014 y 2017.

Mantenemos honeypots para rastrear nuevas muestras e indicadores de red. Sin embargo, se ha vuelto cada vez más difícil ejecutar dichos honeypots a medida que Ebury evolucionaba. Por ejemplo, uno de nuestros honeypots no reaccionó exactamente como se esperaba cuando se instaló Ebury. Después de pasar horas tratando de depurar lo que estaba pasando, los operadores de Ebury finalmente abandonaron el servidor y enviaron un mensaje para mostrar que sabían de nuestros intentos de engañarlos, como se muestra en la Figura 1.

Figure 1. Interactions between the Ebury perpetrators and an ESET-operated honeypot, showing that the operators had flagged this system as a honeypot
Figura 1. Interacciones entre los perpetradores de Ebury y un honeypot operado por ESET, mostrando que los operadores habían marcado este sistema como un honeypot

 

En 2021, la Unidad Nacional de Delitos de Alta Tecnología de Holanda (NHTCU) se puso en contacto con ESET después de haber encontrado Ebury en el servidor de una víctima de robo de criptomoneda. Trabajando juntos, obtuvimos una gran visibilidad de las actividades recientes del grupo y del malware que utiliza.

 

Ebury, Ebury en todas partes

Este trabajo revela nuevos métodos utilizados para propagar Ebury a nuevos servidores. La Figura 2 resume los métodos que pudimos documentar.

Figure 2. Different methods used by the Ebury gang to compromise new servers
Figura 2. Diferentes métodos utilizados por la banda Ebury para comprometer nuevos servidores

 

Entre las víctimas se encuentran muchos proveedores de alojamiento. La banda aprovecha su acceso a la infraestructura del proveedor de alojamiento para instalar Ebury en todos los servidores alquilados por dicho proveedor. Como experimento, alquilamos un servidor virtual a uno de los proveedores de alojamiento comprometidos: Ebury se instaló en nuestro servidor en siete días.

Otro método interesante es el uso de adversarios en el medio para interceptar el tráfico SSH de objetivos interesantes dentro de los centros de datos y redirigirlo a un servidor utilizado para capturar credenciales, como se resume en la Figura 3. Los operadores de Ebury aprovechan los servidores comprometidos por Ebury existentes en el mismo segmento de red que su objetivo para realizar la suplantación de ARP. Según la telemetría de Internet, en 2023 se atacaron más de 200 servidores. Entre los objetivos se encuentran nodos de Bitcoin y Ethereum. Ebury roba automáticamente las carteras de criptomonedas alojadas en el servidor atacado una vez que la víctima teclea la contraseña para iniciar sesión en él.

Figure 3. Overview of AitM attacks perpetrated by the Ebury gang
Figura 3. Visión general de los ataques AitM perpetrados por la Banda Ebury

 

¿Hasta qué punto son eficaces todos estos métodos? Ebury ha atacado unos 400.000 servidores desde 2009, y más de 100.000 seguían comprometidos a finales de 2023. Los autores llevan un registro de los sistemas comprometidos, y hemos utilizado esos datos para trazar una línea temporal del número de nuevos servidores añadidos a la botnet cada mes (Figura 4). Se muestra utilizando dos escalas, para demostrar algunos de los principales incidentes en los que Ebury se desplegó en decenas de miles de servidores a la vez.

 

 

Podés leer el artículo completo en el siguiente enlace:

Ebury está vivo: 400.000 servidores Linux comprometidos para robar criptomonedas

 

 

×