Grupo Hacker Romeno 'RUBYCARP' de 10 Anos Surge com Botnet Poderosa
10 de Abril de 2024

Um grupo de ameaças de suspeita origem romena chamado RUBYCARP foi observado mantendo uma botnet de longa duração para realizar mineração de criptomoedas, ataques de negação de serviço distribuído (DDoS) e ataques de phishing.

O grupo, acredita-se estar ativo há pelo menos 10 anos, emprega a botnet para ganho financeiro, disse a Sysdig em um relatório compartilhado com o The Hacker News.

"Seu principal método de operação utiliza uma botnet implementada usando uma variedade de exploits públicos e ataques de brute-force", disse a firma de segurança em nuvem.

"Este grupo se comunica via redes IRC públicas e privadas."

As evidências coletadas até agora sugerem que RUBYCARP pode ter conexões com outro grupo de ameaça monitorado pela firma de cibersegurança albanesa Alphatechs sob o apelido Outlaw, que tem um histórico de conduzir mineração de criptomoedas e ataques de brute-force e desde então se voltou para campanhas de phishing e spear-phishing para abranger um espectro mais amplo.

"Esses e-mails de phishing frequentemente atraem vítimas para revelar informações sensíveis, como credenciais de acesso ou detalhes financeiros", disse o pesquisador de segurança Brenton Isufi em um relatório publicado no final de dezembro de 2023.

Um aspecto notável da tradecraft de RUBYCARP é o uso de um malware chamado ShellBot (também conhecido como PerlBot) para violar ambientes-alvo.

Foi também observado explorando falhas de segurança no Laravel Framework (e.g., CVE-2021-3129 ), técnica também adotada por outros agentes de ameaça como AndroxGh0st.

Como um sinal de que os atacantes estão expandindo seu arsenal de métodos de acesso inicial para aumentar a escala da botnet, a Sysdig disse que descobriu sinais de sites WordPress sendo comprometidos usando nomes de usuário e senhas comumente utilizados.

"Uma vez obtido o acesso, é instalado um backdoor baseado no popular Perl ShellBot," disse a empresa.

"O servidor da vítima é então conectado a um servidor [Internet Relay Chat] atuando como comando e controle, e se junta à botnet maior."

Estima-se que a botnet seja composta por mais de 600 hosts, com o servidor IRC ("chat.juicessh[.]pro") criado em 1° de maio de 2023.

A rede depende fortemente de IRC para comunicações gerais, bem como para gerenciar suas botnets e coordenar campanhas de mineração de criptomoedas.

Além disso, membros do grupo – nomeados juice_, Eugen, Catalin, MUIE e Smecher, entre outros – foram encontrados se comunicando via um canal do Undernet IRC chamado #cristi.

Também é utilizado uma ferramenta de scanner em massa para encontrar novos hosts potenciais.

A chegada do RUBYCARP ao cenário de ameaças cibernéticas não é surpreendente, dada a sua capacidade de aproveitar a botnet para alimentar diversas correntes de renda ilícitas, como operações de mineração de criptomoedas e phishing para roubar números de cartão de crédito.

Embora pareça que os dados de cartão de crédito roubados sejam usados para comprar infraestrutura de ataque, também há a possibilidade de que as informações possam ser monetizadas de outras maneiras, vendendo-as no submundo do crime cibernético.

"Esses agentes de ameaças também estão envolvidos no desenvolvimento e venda de armas cibernéticas, o que não é muito comum," disse a Sysdig.

"Eles têm um grande arsenal de ferramentas que acumularam ao longo dos anos, o que lhes dá bastante flexibilidade ao conduzir suas operações."

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...