Uma botnet baseada em Linux está ativa e funcionando bem, impulsionando o roubo de criptomoedas e golpes financeiros anos após a prisão de um dos principais perpetradores por trás dela.

A botnet Ebury – que foi descoberta há 15 anos – inseriu backdoors em quase 400.000 servidores Linux, FreeBSD e OpenBSD. Mais de 100.000 servidores ainda estavam comprometidos até o final de 2023, de acordo com uma nova pesquisa da fornecedora de cibersegurança ESET.

As vítimas incluem universidades, pequenas e grandes empresas, provedores de serviços de Internet, negociadores de criptomoedas, nodes de saída do Tor e muitos provedores de hospedagem em todo o mundo.

Ebury é uma backdoor do OpenSSH que costumava roubar credenciais como chaves SSH e senhas. Ele cria um backdoor no servidor infectado que facilita a implantação de módulos de malware secundários como Cdorked, uma backdoor HTTP usada para redirecionar o tráfego da Web e modificar as configurações de DNS, e Calfbot, um script Perl usado para enviar e-mails de spam.

Ao longo dos anos, Ebury tem servido como plataforma para distribuição de spam, redirecionamentos de tráfego da Web e roubo de credenciais, entre outros golpes. Mais recentemente, a gangue que administra a botnet mudou para roubo de cartões de crédito e criptomoedas, descobriram os pesquisadores.

Os atacantes usam táticas de adversário no meio para interceptar o tráfego SSH de alvos interessantes – incluindo nós de Bitcoin e Ethereum – dentro de data centers, e então redirecionam o tráfego para um servidor sob seu controle. Uma vez que um potencial vítima digita sua senha em uma carteira de criptomoedas hospedada no servidor comprometido, Ebury rouba automaticamente essas carteiras, de acordo com a ESET, que esta semana lançou uma pesquisa atualizada e um white paper sobre a botnet Ebury.

Eles também parecem estar tentando eliminar concorrentes em potencial de roubo de cartões de crédito. Por exemplo: o malware Ebury tenta detectar e remover o Trojan bancário BigBadWolf de sistemas comprometidos.

Os operadores do Ebury usam vulnerabilidades de dia zero no software de administração do servidor para hackear servidores em escala e extrair credenciais dos servidores das vítimas, encontraram os pesquisadores. Os atacantes também usam senhas e chaves conhecidas para invadir sistemas relacionados, o que lhes permite instalar o Ebury sorrateiramente em vários servidores alugados de quaisquer provedores de hospedagem comprometidos.

Em um provedor de hospedagem, um total de 70.000 servidores foram comprometidos pelo Ebury em 2023, disseram os pesquisadores.

“Sempre que um provedor de hospedagem era comprometido, isso levava a um grande número de servidores comprometidos nos mesmos data centers”, escreveu o pesquisador da ESET, Marc-Etienne M. Léveillé, que investiga Ebury há mais de uma década.

Em talvez uma das campanhas mais infames do Ebury, de 2009 a 2011, ele hackeou com sucesso o Kernel.org, que hospeda o código-fonte do kernel Linux. Metade das senhas SSH de desenvolvedores do Kernel.org foram roubadas durante esse período.

Em 2014, a ESET revelou que havia se associado à polícia holandesa em uma investigação de servidores na Holanda suspeitos de estarem comprometidos com o malware Ebury. Em seguida, em 2015, um dos perpetradores do Ebury, o cidadão russo Maxim Senak, foi preso na fronteira entre Finlândia e Rússia e extraditado para os EUA. Ele acabou se declarando culpado por fraude e acusações de hacking de computadores em 2017 e foi condenado a 46 meses de prisão.

Desde então, os cérebros que restaram do Ebury mantiveram um perfil discreto. Eles não anunciam suas atividades e “nunca os vimos tentando vender acesso” a sistemas comprometidos em fóruns da Dark Net, escreveu Léveillé em seu post.

A Unidade Nacional de Crime de Alta Tecnologia dos Países Baixos (NHTCU) entrou em contato com a ESET em 2021 após encontrar o Ebury no servidor de uma vítima de roubo de criptomoedas. Essa investigação de aplicação da lei contra o Ebury continua em andamento.

Os operadores do malware Ebury regularmente adicionam novos recursos. A versão mais recente 1.8.2, vista no início deste ano, inclui novas técnicas de ofuscação, um novo algoritmo de geração de domínio e uma funcionalidade de rootkit mais furtiva.

A ESET lançou esta semana um conjunto de ferramentas de detecção e remediação para ajudar os administradores de sistemas a determinar se seus sistemas estão comprometidos pelo Ebury.

A limpeza de operações é não trivial para uma infecção do Ebury, alerta a ESET. Robert Lipovsky, pesquisador principal de inteligência de ameaças da ESET, disse ao Dark Reading que mesmo que os administradores de sistema sanitizem seus servidores infectados, os cibercriminosos por trás do Ebury podem ser capazes de reinstalar o malware se as credenciais comprometidas forem reutilizadas.

Embora existam ferramentas disponíveis para adicionar autenticação de vários fatores a servidores SSH, a implementação não é simples, então os administradores de sistema frequentemente pulam esse nível extra de segurança. “Os problemas contínuos apresentados pelo Ebury ilustram a falta de visibilidade sobre ameaças baseadas em servidores Linux”, disse Léveillé da ESET ao Dark Reading.