Agencias, Ciudad de México.- Investigadores de ESET han compartido avances sobre la ‘botnet’ Ebury, ‘malware’ que, durante sus 15 años en activo, ha comprometido alrededor de 400,000 servidores Linux, 100,000 de ellos aún vulnerados a finales de 2023, para el robo de criptomonedas y tarjetas bancarias.
Se conoce como ‘botnet’ a un conjunto de redes de dispositivos informáticos, como ordenadores, denominados ‘bots’, que, infectados con ‘malware’ son controlados de forma remota por actores maliciosos y pueden ser utilizados de manera conjunta para realizar actividades maliciosas.
Desde 2009 llega activa la ‘botnet’ Ebury, que en los los últimos 15 años se ha utilizado como puerta trasera para comprometer alrededor de 400,000 servidores Linux, reeBSD y OpenBSD, 100,000 de ellos aún vulnerados a finales del pasado año 2023.
Los expertos en ciberseguridad han advertido que “en muchos de estos casos”, los actores maliciosos detrás de Ebury han podido obtener acceso completo a “grandes servidores de ISP y proveedores de alojamientos conocidos”. Como resultado, se ha conseguido el robo de tarjetas de crédito e, incluso, de criptomonedas.
This story follows Operation Windigo, a paper we published 10 years ago, which details how Ebury, the OpenSSH backdoor and credential stealer, was at the core of a network of malicious activities. https://t.co/yjKFU96a63 2/8
— ESET Research (@ESETresearch) May 14, 2024
Así lo han detallado los investigadores de ESET en un estudio en profundidad la botnet Ebury, en la que la definen como “una de las campañas de ‘malware’ del lado del servidor más avanzadas”.
ESET informó por primera vez sobre Ebury en 2014, con la publicación de un documento técnico sobre la Operación Windigo, una campaña en la que ciberdelincuentes utilizaron múltiples familias de ‘malware’ que trabajaban conjuntamente, “con la familia de ‘malware’ Ebury como núcleo”.
Como resultado, según ha recordado la compañía en un comunicado en su web, intervino la Unidad Nacional Holandesa contra Delitos de Alta Tecnología (NHTCU), que acabó arrestando a uno de los actores maliciosos detrás de esta campaña.
Actualmente, desde ESET han identificado el uso de Ebury para enviar tráfico proxy para ‘spam’ y realizar ataques de adversario en el medio (AitM) en más de 200 objetivos, como nodos de las criptomonedas Bitcoin y Ethereum, repartidos en 75 redes y 34 países diferentes, entre febrero de 2022 y marzo de 2023. Con ella, los ciberdelincuentes han conseguido robar criptomonedas, credenciales y datos de tarjetas de crédito de usuarios.
Victims include universities, small and large enterprises, internet service providers, cryptocurrency traders, Tor exit nodes, and many hosting providers. We discovered that Ebury could unknowingly be installed on servers rented by compromised hosting providers. 4/7 pic.twitter.com/6B6DrHwkwz
— ESET Research (@ESETresearch) May 14, 2024
Además, en su modus operandi, los investigadores han descubierto que los ciberdelincuentes crearon e implementaron nuevas familias de ‘malware’ para obtener ganancias con la ‘botnet’, incluido un módulo de kernel -archivo que contiene código que se puede extender al núcleo del sistema operativo- para redirigir el tráfico web.
Igualmente, los ciberdelincuentes operadores de Ebury también utilizaron vulnerabilidades de día cero en el ‘software’ de administrador para comprometer más servidores de forma masiva.
Según la investigación de ESET, las víctimas finales de Ebury incluyen tanto universidades, como pequeñas y grandes empresas, proveedores de servicios de Internet y comerciantes de criptomonedas. Como ha señalado el investigador de ESET Marc-Etienne M. Léveillé, “no existe ningún límite geográfico para Ebury”, ya que actualmente hay servidores comprometidos en casi todos los países a nivel global.
En este marco, Léveillé ha subrayado que Ebury “plantea una seria amenaza y un desafío para la comunidad de seguridad de Linux”, ya que, actualmente “no existe una solución sencilla que haga que Ebury sea ineficaz”.
También ha advertido de que el ‘malware’ de Ebury no solo afecta a aquellos que “se preocupan menos por la seguridad”, sino que “en la lista de víctimas se encuentran muchas personas muy conocedoras de la tecnología y grandes organizaciones”.
Ebury has also been updated regularly to add new features and obfuscation techniques. The latest version we have seen is 1.8.2, first spotted earlier this year. Ebury has become more and more difficult to detect because of improvements to its userland rootkit. 7/8 pic.twitter.com/PMR93RS1gB
— ESET Research (@ESETresearch) May 14, 2024