Segundo os investigadores da ESET, o botnet de Malware Ebury infectou 400 mil servidores Linux desde 2009.
Sim. Um botnet de malware conhecido como ‘Ebury’ infectou quase 400.000 servidores Linux desde 2009, com cerca de 100.000 ainda comprometidos no final de 2023.
Malware Ebury infectou 400 mil servidores Linux desde 2009
Os investigadores da ESET têm acompanhado a operação de malware com motivação financeira há mais de uma década, alertando sobre atualizações significativas nas capacidades da carga útil em 2014 e novamente em 2017.
Abaixo estão as infecções de Ebury registradas pela ESET desde 2009, mostrando um crescimento notável no volume de infecções ao longo do tempo.
Apple corrige falha de dia zero do Safari WebKit explorada em Pwn2Own
Na última atualização publicada hoje, a ESET relata que uma recente ação policial permitiu obter informações sobre as atividades da operação de malware nos últimos quinze anos.
“Embora 400.000 seja um número enorme, é importante mencionar que este é o número de comprometimentos ao longo de quase 15 anos. Nem todas essas máquinas foram comprometidas ao mesmo tempo”, explica a ESET.
“Há uma agitação constante de novos servidores sendo comprometidos enquanto outros estão sendo limpos ou desativados. Os dados à nossa disposição não indicam quando os invasores perderam o acesso aos sistemas, por isso é difícil saber o tamanho da botnet a qualquer momento. momento específico.”
As últimas táticas de Ebury
Os recentes ataques de Ebury mostram uma preferência dos operadores em violar fornecedores de alojamento e realizar ataques à cadeia de abastecimento a clientes que alugam servidores virtuais no fornecedor comprometido.
O comprometimento inicial é realizado por meio de ataques de preenchimento de credenciais, usando credenciais roubadas para fazer login nos servidores.
Depois que um servidor é comprometido, o malware exfiltra uma lista de conexões SSH de entrada/saída do wtmp e do arquivoknown_hosts e rouba chaves de autenticação SSH, que são então usadas para tentar fazer login em outros sistemas.
“Quando o arquivoknown_hosts contém informações com hash, os perpetradores tentam forçar seu conteúdo com força bruta”, diz o relatório detalhado da ESET.
“De 4,8 milhões de entradas de hosts conhecidos coletadas pelos operadores Ebury, cerca de dois milhões tiveram seus nomes de host hash. 40% (cerca de 800.000) desses nomes de host com hash foram adivinhados ou forçados de forma bruta.”
Alternativamente, e sempre que possível, os atacantes também podem explorar vulnerabilidades conhecidas no software executado nos servidores para obter mais acesso ou elevar os seus privilégios.
A infraestrutura do provedor de hospedagem, incluindo OpenVZ ou hosts de contêineres, pode ser aproveitada para implantar o Ebury em vários contêineres ou ambientes virtuais.
Na próxima fase, os operadores de malware interceptam o tráfego SSH nos servidores alvo dentro desses data centers usando falsificação de protocolo de resolução de endereço (ARP) para redirecionar o tráfego para um servidor sob seu controle.
Assim que um usuário faz login em um servidor comprometido via SSH, Ebury captura as credenciais de login.
Nos casos em que os servidores hospedam carteiras de criptomoedas, a Ebury usa as credenciais capturadas para esvaziar as carteiras automaticamente.
A ESET afirma que a Ebury direcionou pelo menos 200 servidores usando esse método ao longo de 2023, incluindo nós Bitcoin e Ethereum.
As estratégias de monetização variam, porém, e também incluem o roubo de informações de cartão de crédito inseridas em sites de pagamento, o redirecionamento do tráfego da web para gerar receita de anúncios e programas afiliados, o uso de servidores comprometidos para enviar spam e a venda das credenciais capturadas.
No final de 2023, a ESET afirma ter observado a introdução de novas técnicas de ofuscação e um novo sistema de algoritmo de geração de domínio (DGA) que permite ao botnet evitar a detecção e melhorar sua resiliência contra blocos.
Os módulos de malware espalhados através do botnet Ebury, com base nas últimas observações da ESET, são:
- HelimodProxy : faz proxy do tráfego bruto e retransmite spam, modificando o módulo mod_dir.so Apache, permitindo que o servidor comprometido execute comandos arbitrários e suporte campanhas de spam.
- HelimodRedirect : Redireciona o tráfego HTTP para sites controlados por invasores, modificando vários módulos Apache e nginx para redirecionar uma pequena porcentagem do tráfego da web para sites maliciosos.
- HelimodSteal : exfiltra informações confidenciais de solicitações HTTP POST adicionando um filtro de entrada que intercepta e rouba dados enviados por meio de formulários da web, como credenciais de login e detalhes de pagamento.
- KernelRedirect : modifica o tráfego HTTP no nível do kernel para redirecionar os visitantes usando um módulo do kernel Linux que se conecta ao Netfilter, alterando o cabeçalho Location nas respostas HTTP para redirecionar os usuários para URLs maliciosos.
- FrizzySteal : intercepta e exfiltra solicitações HTTP conectando-se ao libcurl, permitindo capturar e roubar dados de solicitações HTTP feitas pelo servidor comprometido.
A investigação foi realizada em colaboração com a Unidade Nacional Holandesa de Crimes de Alta Tecnologia (NHTCU), que recentemente apreendeu um servidor de backup usado pelos cibercriminosos.
As autoridades holandesas dizem que os atores de Ebury usam identidades falsas ou roubadas (através do Vidar Stealer), assumindo mesmo os apelidos de outros cibercriminosos, por vezes, para enganar as autoridades.
A NHTCU está investigando evidências encontradas naquele servidor, incluindo máquinas virtuais contendo artefatos de navegação na web, como histórico e logins salvos, mas nenhuma atribuição concreta foi feita ainda.
