HACKING

Το Ebury malware botnet έχει μολύνει 400.000 Linux servers

This post was originally published on this site

Το malware botnet “Ebury” έχει μολύνει σχεδόν 400.000 διακομιστές Linux από το 2009. Σύμφωνα με ερευνητές της ESET, περίπου 100.000 παρέμεναν παραβιασμένοι μέχρι τα τέλη του 2023.

Οι ερευνητές παρακολουθούν την κακόβουλη δραστηριότητα για πάνω από μια δεκαετία, προειδοποιώντας για σημαντικές βελτιώσεις στις δυνατότητες του payload τόσο το 2014 όσο και το 2017.

Από το 2009, οι μολύνσεις από το Ebury botnet έχουν αυξηθεί σε όγκο, σύμφωνα με τις παρατηρήσεις της ESET.

Χάρη σε μια πρόσφατη επιχείρηση των αρχών επιβολής του νόμου, η εταιρεία κυβερνοασφάλειας κατάφερε να αποκτήσει πρόσβαση σε πληροφορίες σχετικά με τις δραστηριότητες του botnet τα τελευταία δεκαπέντε χρόνια.

Δείτε επίσης: To botnet Phorpiex έστειλε εκατ. emails για διανομή του LockBit Black ransomware

Ενώ οι 400.000 είναι ένας τεράστιος αριθμός, είναι σημαντικό να αναφέρουμε ότι αυτός είναι ο αριθμός των μολύνσεων στη διάρκεια περίπου 15 ετών. Δεν παραβιάστηκαν όλα αυτά τα μηχανήματα ταυτόχρονα“, εξηγεί η ESET. “Υπάρχει μια συνεχής αλλαγή με νέους διακομιστές να παραβιάζονται και άλλους να εκκαθαρίζονται ή να αποσυνδέονται από το botnet. Τα δεδομένα που έχουμε στη διάθεσή μας δεν δείχνουν πότε οι εισβολείς έχασαν την πρόσβαση στα συστήματα, επομένως είναι δύσκολο να γνωρίζουμε το μέγεθος του botnet σε κάθε χρονικό σημείο“.

Ebury malware botnet: Η πιο πρόσφατη τακτική

Οι πρόσφατες επιθέσεις Ebury δείχνουν ότι οι χειριστές του παραβιάζουν παρόχους φιλοξενίας και εκτελούν επιθέσεις στην αλυσίδα εφοδιασμού πελατών, που νοικιάζουν εικονικούς διακομιστές στον παραβιασμένο πάροχο.

Η αρχική παραβίαση πραγματοποιείται μέσω credential stuffing επιθέσεων, χρησιμοποιώντας κλεμμένα credentials για τη σύνδεση στους διακομιστές. Μόλις παραβιαστεί ένας διακομιστής, το Ebury malware botnet ενεργοποιεί μια λίστα inbound/outband SSH connections από το wtmp και το αρχείο known_hosts και κλέβει τα SSH authentication keys, τα οποία στη συνέχεια χρησιμοποιούνται για τη σύνδεση σε άλλα συστήματα.

Όταν το αρχείο Known_hosts περιέχει hashed πληροφορίες, οι δράστες προσπαθούν να κάνουν brute force στο περιεχόμενό του“, αναφέρει η ESET.

Επίσης, οι δράστες μπορούν να εκμεταλλευτούν γνωστές ευπάθειες στο λογισμικό που εκτελείται στους διακομιστές, για να αποκτήσουν περαιτέρω πρόσβαση ή να αυξήσουν τα προνόμιά τους.

Δείτε επίσης: Ευπάθειες Ivanti χρησιμοποιούνται για ανάπτυξη του Mirai botnet

Η υποδομή του παρόχου φιλοξενίας, συμπεριλαμβανομένων των OpenVZ ή container hosts, μπορεί να αξιοποιηθεί για την ανάπτυξη του Ebury malware botnet σε πολλαπλά containers ή εικονικά περιβάλλοντα.

Στην επόμενη φάση, οι χειριστές του κακόβουλου λογισμικού παρεμβαίνουν στο SSH traffic στους στοχευμένους διακομιστές, χρησιμοποιώντας Address Resolution Protocol (ARP) spoofing για να ανακατευθύνουν το traffic σε έναν διακομιστή υπό τον έλεγχό τους.

Μόλις ένας χρήστης συνδεθεί σε έναν παραβιασμένο διακομιστή μέσω SSH, το Ebury καταγράφει τα login credentials.

Σε περιπτώσεις όπου οι διακομιστές φιλοξενούν πορτοφόλια crypto, το Ebury χρησιμοποιεί τα credentials για να κλέψει όλα τα κεφάλαια.

Σύμφωνα με την ESET, το Ebury στόχευσε τουλάχιστον 200 διακομιστές χρησιμοποιώντας αυτήν τη μέθοδο το 2023.

Ωστόσο, οι στρατηγικές δημιουργίας εσόδων ποικίλλουν και περιλαμβάνουν επίσης την κλοπή πληροφοριών πιστωτικής κάρτας που έχουν εισαχθεί σε ιστότοπους πληρωμών, την ανακατεύθυνση της επισκεψιμότητας για τη δημιουργία εσόδων από διαφημίσεις και προγράμματα συνεργατών, τη χρήση παραβιασμένων διακομιστών για την αποστολή ανεπιθύμητων μηνυμάτων και την πώληση των κλεμμένων διαπιστευτηρίων.

Στα τέλη του 2023, η ESET παρατήρησε την εισαγωγή νέων τεχνικών για την αποφυγή του εντοπισμού.

Η τελευταία έρευνα της ESET πραγματοποιήθηκε σε συνεργασία με την Ολλανδική Εθνική Μονάδα Εγκλήματος Υψηλής Τεχνολογίας (NHTCU), η οποία πρόσφατα κατέσχεσε έναν εφεδρικό διακομιστή που χρησιμοποιούσαν οι εγκληματίες. H NHTCU διερευνά στοιχεία που βρέθηκαν σε αυτόν τον διακομιστή, αλλά δεν έχουν γίνει ακόμη συγκεκριμένες αναφορές.

Το Ebury malware botnet έχει μολύνει 400.000 Linux servers

Προστασία από malware botnet

Για να προστατευτείτε από Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις botnet συχνά εκμεταλλεύονται γνωστές ευπάθειες.

Δείτε επίσης: Το Goldoon Botnet στοχεύει D-Link Routers

Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.

Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet (π.χ. Ebury). Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.

Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.

Πηγή: www.bleepingcomputer.com

https://www.secnews.gr/security/

%d bloggers like this: