Информация

400 000 Linux-серверов пострадали от ботнета Ebury

Быстрая покупка VPN для России через удобный Телеграмм-бот:

Когда наконец специалисты смогут ликвидировать этого неуловимого серверного монстра?

Согласно недавнему отчёту компании ESET, с 2009 года ботнет Ebury заразил почти 400 000 Linux-серверов. На конец 2023 года около 100 000 серверов по-прежнему оставались под угрозой.

Исследователи ESET наблюдают за деятельностью Ebury уже более десяти лет. Значительные обновления вредоносного ПО они фиксировали в 2014 и 2017 годах. Недавняя операция правоохранительных органов Нидерландов позволила получить новые данные о деятельности «долгоиграющего» ботнета.

«Хотя 400 000 — это огромное число, важно понимать, что это общее количество заражений за почти 15 лет. Не все машины были заражены одновременно», — объясняют в ESET. «Постоянно появляются новые серверы, которые заражаются, пока другие очищаются или выводятся из эксплуатации».

Последние атаки Ebury направлены на взлом хостинг-провайдеров и проведение атак на цепочки поставок, затрагивающих клиентов, которые арендуют виртуальные серверы.

Первоначальный взлом осуществляется через атаки с использованием украденных учётных данных, а после компрометации вредоносное ПО крадёт списки SSH-подключений и аутентификационные ключи, чтобы получить доступ к другим системам.

«Если файл known_hosts содержит хешированную информацию, злоумышленники пытаются взломать его содержимое», — предупреждают эксперты ESET. «Из 4,8 миллиона записей, собранных операторами Ebury, около двух миллионов имели хешированные имена хостов. 40% из них были взломаны».

Получи VPN-прокси для России через наш удобный Телеграмм-бот:

Атаки также могут использовать известные уязвимости в программном обеспечении серверов для повышения своих привилегий. Кроме того, инфраструктура хостинг-провайдеров эффективно используется злоумышленниками для распространения Ebury по контейнерам или виртуальным средам.

На следующем этапе операторы вредоносного ПО перехватывают SSH-трафик на целевых серверах, используя ARP-спуфинг. При входе пользователя на заражённый сервер через SSH, Ebury фиксирует его учётные данные.

  Десериализация VIEWSTATE: как уязвимость используется проправительственными группировками

Если серверы содержат криптовалютные кошельки, Ebury использует украденные учётные данные для автоматического опустошения этих кошельков. В 2023 году таким образом было атаковано не менее 200 серверов, включая узлы Bitcoin и Ethereum.

Более того, злоумышленники умудряются применять в своём ботнете стратегии монетизации, включающие кражу данных кредитных карт, перенаправление веб-трафика для получения дохода от рекламы и партнёрских программ, отправку спама и продажу украденных учётных данных.

В конце 2023 года ESET обнаружила новые методы обфускации и систему генерации доменов, которые позволяют ботнету избегать обнаружения и улучшать устойчивость к блокировкам. Кроме того, последние наблюдения показали использование следующих вредоносных модулей в деятельности ботнета Ebury:

  • HelimodProxy: прокси-сервер для пересылки спама;
  • HelimodRedirect: перенаправление HTTP-трафика на сайты злоумышленников;
  • HelimodSteal: кража данных из HTTP POST запросов;
  • KernelRedirect: модификация HTTP-трафика на уровне ядра;
  • FrizzySteal: перехват и кража данных из HTTP-запросов.

Расследование ESET проводилось в сотрудничестве с Нидерландским национальным подразделением по борьбе с киберпреступностью (NHTCU), которое конфисковало резервный сервер, используемый киберпреступниками.

Нидерландские власти сообщают, что операторы Ebury используют поддельные или украденные идентификации, иногда выдавая себя за других киберпреступников, чтобы запутать следствие. Расследование продолжается, но конкретных обвинений пока что выдвинуто не было.

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься

Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.

Почему стоит купить безопасный VPN?

  • Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.

  • Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.

  • Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.

  • Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.

  Без пива и телевизора: в Скандинавии наступил сухой закон после кибератаки

Оставить ответ