Uma botnet chamada 'Ebury' infectou quase 400.000 servidores Linux desde 2009, com cerca de 100.000 ainda comprometidos até o final de 2023.
Pesquisadores da ESET vêm acompanhando a operação de malware, motivada financeiramente, por mais de uma década, alertando sobre atualizações significativas nas capacidades do payload em 2014 e novamente em 2017.
Abaixo estão as infecções por Ebury registradas pela ESET desde 2009, mostrando um crescimento notável no volume de infecções ao longo do tempo.
Na última atualização publicada hoje, a ESET relata que uma ação recente da lei permitiu que eles obtivessem informações sobre as atividades da operação de malware nos últimos quinze anos.
"Embora 400.000 seja um número massivo, é importante mencionar que esse é o número de comprometimentos ao longo de quase 15 anos.Nem todas essas máquinas foram comprometidas ao mesmo tempo", explica a ESET.
Há uma constante entrada e saída de novos servidores sendo comprometidos enquanto outros são limpos ou desativados.
Os dados que temos à disposição não indicam quando os atacantes perderam acesso aos sistemas, então é difícil saber o tamanho da botnet em qualquer momento específico.
Ataques recentes de Ebury mostram uma preferência dos operadores por invadir provedores de hospedagem e realizar ataques à cadeia de suprimentos em clientes que alugam servidores virtuais no provedor comprometido.
O comprometimento inicial é realizado via ataques de credential stuffing, usando credenciais roubadas para fazer login nos servidores.
Uma vez que um servidor é comprometido, o malware exfiltra uma lista de conexões SSH de entrada/saída de wtmp e o arquivo known_hosts e rouba as chaves de autenticação SSH, que são então usadas para tentar fazer login em outros sistemas.
"Quando o arquivo known_hosts contém informações hashadas, os perpetradores tentam forçar a entrada bruta em seu conteúdo", lê-se no relatório detalhado da ESET.
Dos 4,8 milhões de entradas de known_hosts coletadas pelos operadores de Ebury, cerca de dois milhões tinham seu hostname hashado.
Cerca de 40%(aproximadamente 800.000) desses hostnames hashados foram adivinhados ou forçados à entrada.
Alternativamente, e quando possível, os atacantes também podem explorar vulnerabilidades conhecidas no software em execução nos servidores para ganhar mais acesso ou elevar seus privilégios.
A infraestrutura do provedor de hospedagem, incluindo OpenVZ ou hosts de contêiner, pode ser aproveitada para implantar Ebury em vários contêineres ou ambientes virtuais.
Na próxima fase, os operadores de malware interceptam o tráfego SSH nos servidores alvo dentro desses data centers, usando ARP spoofing para redirecionar o tráfico para um servidor sob seu controle.
Uma vez que um usuário faz login em um servidor comprometido via SSH, o Ebury captura as credenciais de login.
Em casos onde os servidores hospedam carteiras de criptomoedas, o Ebury usa as credenciais capturadas para esvaziar as carteiras automaticamente.
A ESET diz que Ebury visou pelo menos 200 servidores usando esse método ao longo de 2023, incluindo nós de Bitcoin e Ethereum.
As estratégias de monetização variam, entretanto, e também incluem o roubo de informações de cartão de crédito inseridas em sites de pagamento, redirecionando o tráfego da web para gerar receita com anúncios e programas de afiliados, usando servidores comprometidos para enviar spam e vendendo as credenciais capturadas.
No final de 2023, a ESET diz que observou a introdução de novas técnicas de ofuscação e um novo sistema de algoritmo de geração de domínio (DGA) que permite à botnet evitar detecção e melhorar sua resiliência contra bloqueios.
Os módulos de malware disseminados pela Ebury botnet, baseados nas últimas observações da ESET, são:
HelimodProxy: Proxy de tráfego bruto e retransmissão de spam modificando o módulo Apache mod_dir.so, permitindo que o servidor comprometido execute comandos arbitrários e suporte campanhas de spam.
HelimodRedirect: Redireciona o tráfego HTTP para websites controlados pelo atacante modificando vários módulos Apache e nginx para redirecionar uma pequena porcentagem do tráfego web para sites maliciosos.
HelimodSteal: Exfiltra informações sensíveis de solicitações HTTP POST adicionando um filtro de entrada que intercepta e rouba dados submetidos via formulários web, como credenciais de login e detalhes de pagamento.
KernelRedirect: Modifica o tráfego HTTP no nível do kernel para redirecionar visitantes usando um módulo do kernel Linux que se conecta ao Netfilter, alterando o cabeçalho de Localização nas respostas HTTP para redirecionar os usuários para URLs maliciosas.
FrizzySteal: Intercepta e exfiltra solicitações HTTP conectando-se ao libcurl, permitindo que capture e roube dados de solicitações HTTP feitas pelo servidor comprometido.
A investigação mais recente da ESET foi realizada em colaboração com a Unidade Nacional de Crimes de Alta Tecnologia da Holanda (NHTCU), que recentemente apreendeu um servidor de backup usado pelos criminosos cibernéticos.
As autoridades holandesas dizem que os atores de Ebury usam identidades falsas ou roubadas (via Vidar Stealer), assumindo até os nomes de outros criminosos cibernéticos às vezes para enganar a aplicação da lei.
A NHTCU está investigando as evidências encontradas nesse servidor, incluindo máquinas virtuais contendo artefatos de navegação na web como histórico e logins salvos, mas ainda não foram feitas atribuições concretas.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...