Una red de bots basada en Linux sigue vivita y coleando, impulsando el robo de criptomonedas y las estafas financieras años después del encarcelamiento de uno de sus principales responsables.
La red de bots Ebury, que se descubrió por primera vez hace 15 años, ha atacado casi 400.000 servidores Linux, FreeBSD y OpenBSD. Más de 100.000 servidores seguían comprometidos a finales de 2023, según un nuevo estudio del proveedor de ciberseguridad ESET.
Entre las víctimas se encuentran universidades, pequeñas y grandes empresas, proveedores de servicios de Internet, comerciantes de criptomonedas, nodos de salida de Tor y muchos proveedores de alojamiento de todo el mundo.
Anatomía de una amenaza
Ebury es un backdoor OpenSSH que se utiliza para robar credenciales como claves SSH y contraseñas. Crea una puerta trasera en el servidor infectado que facilita el despliegue de módulos de malware secundarios como Cdorked, una puerta trasera HTTP utilizada para redirigir el tráfico web y modificar la configuración DNS, y Calfbot, un script Perl utilizado para enviar correos electrónicos de spam.
Puede leer también | SnoopGod Linux la distribución de ciberseguridad
A lo largo de los años, Ebury ha servido de plataforma para la distribución de spam, la redirección del tráfico web y el robo de credenciales, entre otras estafas. Más recientemente, la banda que dirige la red de bots ha pasado a dedicarse al robo de tarjetas de crédito y criptomonedas, según han descubierto los investigadores.
Los atacantes utilizan tácticas de adversario en el medio para interceptar el tráfico SSH de objetivos interesantes -incluidos nodos de Bitcoin y Ethereum- dentro de centros de datos, y luego redirigir el tráfico a un servidor bajo su control. Una vez que una posible víctima introduce su contraseña en un monedero de criptomonedas alojado en el servidor comprometido, Ebury roba automáticamente esos monederos, según ESET, que esta semana ha publicado una investigación actualizada y un libro blanco sobre la botnet Ebury.
También parece que están tratando de desbancar a posibles competidores en el robo de tarjetas de crédito. Un ejemplo: El malware Ebury intenta detectar y eliminar el troyano bancario BigBadWolf de los sistemas comprometidos.
Puede leer también | Las 10 razones por las cuales debes saber Python para la ciberseguridad
Los operadores de Ebury emplean vulnerabilidades de día cero en el software del administrador del servidor para piratear servidores a escala y extraer credenciales de los servidores víctimas, según descubrieron los investigadores. Los atacantes también utilizan contraseñas y claves conocidas para piratear los sistemas relacionados, lo que les permite instalar subrepticiamente Ebury en múltiples servidores alquilados a cualquier proveedor de alojamiento comprometido.
Puede leer también | Métricas Clave y KPI en Ciberseguridad para Empresas
En un proveedor de alojamiento, Ebury comprometió un total de 70.000 servidores en 2023, según los investigadores.
"Cada vez que un proveedor de alojamiento se veía comprometido, daba lugar a un gran número de servidores comprometidos en los mismos centros de datos", escribió el investigador de ESET Marc-Etienne M. Léveillé, que ha estado investigando Ebury durante más de una década.
Puede leer también | Ciberseguridad: Estrategias cruciales antes, durante y después de un ataque Informático
En la que quizá sea una de las campañas más infames de Ebury, entre 2009 y 20011 consiguió piratear Kernel.org, que alberga el código fuente del núcleo de Linux. La mitad de las contraseñas SSH de los desarrolladores de Kernel.org fueron robadas durante ese periodo.
Policías y ladrones
En 2014, ESET reveló que se había asociado con la policía holandesa en una investigación de servidores en los Países Bajos sospechosos de estar comprometidos con el malware Ebury. Luego, en 2015, uno de los autores de Ebury, el ciudadano ruso Maxim Senak, fue arrestado en la frontera entre Finlandia y Rusia y extraditado a los Estados Unidos. En 2017 se declaró culpable de fraude y piratería informática y fue condenado a 46 meses de prisión.
Puede leer también | ¿Es la inteligencia artificial la solución a las amenazas de ciberseguridad?
Desde entonces, los restantes cerebros de Ebury han mantenido un perfil bajo. No publicitan sus actividades y "nunca los hemos visto intentando vender acceso" a sistemas comprometidos en foros de la Dark Net, escribió Léveillé de ESET en su post.
La Unidad Nacional de Delitos de Alta Tecnología de Holanda (NHTCU) en 2021 se puso en contacto con ESET después de encontrar Ebury en el servidor de una víctima de robo de criptomoneda. Esa investigación policial sobre Ebury sigue en curso.
Mantener Linux a salvo de Ebury
Los operadores del malware Ebury añaden nuevas funciones con regularidad. La última versión 1.8.2, detectada a principios de este año, incluye nuevas técnicas de ofuscación, un nuevo algoritmo de generación de dominios y una funcionalidad de rootkit más sigilosa.
ESET ha lanzado esta semana un conjunto de herramientas de detección y corrección para ayudar a los administradores de sistemas a determinar si sus sistemas están comprometidos por Ebury.
Las operaciones de limpieza no son triviales para una infección por Ebury, advierte ESET. Robert Lipovsky, investigador principal de inteligencia de amenazas en ESET, dijo a Dark Reading que incluso si los administradores de sistemas limpian sus servidores infectados, los cibercriminales detrás de Ebury podrían ser capaces de reinstalar el malware si se reutilizan las credenciales comprometidas.
Puede leer también | La Importancia de un Centro de Operaciones de Ciberseguridad
Aunque existen herramientas para añadir autenticación multifactor a los servidores SSH, su despliegue no es sencillo, por lo que los administradores de sistemas suelen saltarse ese nivel extra de seguridad. "Los continuos problemas planteados por Ebury ilustran la falta de visibilidad de las amenazas del lado del servidor basadas en Linux", declaró Léveillé de ESET a Dark Reading.