ESET: la botnet Ebury infectó 400.000 servidores en 15 años de actividad

Según un reciente informe de ESET, desde 2009 el botnet Ebury ha infectado casi 400,000 servidores Linux. A finales de 2023, alrededor de 100,000 servidores aún permanecían bajo amenaza.

Los investigadores de ESET han estado monitoreando las actividades de Ebury durante más de diez años. Detectaron actualizaciones significativas del malware en 2014 y 2017. Una reciente operación de las fuerzas del orden de los Países Bajos permitió obtener nuevos datos sobre las actividades del botnet de «larga duración».

«Si bien 400,000 es un número enorme, es importante entender que esa es la cantidad total de infecciones en casi 15 años. No todas las máquinas estuvieron infectadas al mismo tiempo», explica ESET. «Continuamente aparecen nuevos servidores que se infectan, mientras que otros se limpian o se descartan».

Los últimos ataques de Ebury apuntan a hackear proveedores de hosting y realizar ataques en la cadena de suministro que afectan a clientes que alquilan servidores virtuales.

El hackeo inicial se realiza mediante ataques con credenciales robadas, y después de la compromisión, el malware roba listas de conexiones SSH y claves de autenticación para acceder a otros sistemas.

«Si el archivo known_hosts contiene información hasheada, los atacantes intentan descifrarla», advierten los expertos de ESET. «De los 4.8 millones de entradas recopiladas por los operadores de Ebury, alrededor de 2 millones tenían nombres de host hasheados. El 40% de ellos fueron descifrados».

Los ataques también pueden explotar vulnerabilidades conocidas en el software del servidor para elevar sus privilegios. Además, la infraestructura de los proveedores de hosting se utiliza eficazmente para propagar Ebury a contenedores o entornos virtuales.

En la siguiente etapa, los operadores de malware interceptan el tráfico SSH en los servidores objetivo mediante suplantación ARP. Cuando un usuario inicia sesión en un servidor infectado a través de SSH, Ebury registra sus credenciales.

Si los servidores contienen carteras de criptomonedas, Ebury usa las credenciales robadas para vaciarlas automáticamente. En 2023, al menos 200 servidores fueron atacados de esta manera, incluyendo nodos de Bitcoin y Ethereum.

Además, los atacantes logran aplicar estrategias de monetización en su botnet, incluyendo robo de datos de tarjetas de crédito, redirección de tráfico web para generar ingresos publicitarios y de afiliados, envío de spam y venta de credenciales robadas.

A finales de 2023, ESET descubrió nuevos métodos de ofuscación y un sistema de generación de dominios que permiten al botnet evadir la detección y mejorar la resistencia al bloqueo. Además, las observaciones recientes mostraron el uso de los siguientes módulos maliciosos en las actividades del botnet Ebury:

• HelimodProxy: Un servidor proxy para reenviar spam
• HelimodRedirect: Redireccionamiento de tráfico HTTP a sitios de atacantes
• HelimodSteal: Robo de datos de solicitudes HTTP POST
• KernelRedirect: Modificación de tráfico HTTP a nivel de kernel
• FrizzySteal: Interceptación y robo de datos de solicitudes HTTP

La investigación de ESET se llevó a cabo en cooperación con la Unidad Nacional de Delitos Informáticos de los Países Bajos (NHTCU), que confiscó un servidor de respaldo utilizado por los cibercriminales.

Las autoridades holandesas informan que los operadores de Ebury utilizan identidades falsas o robadas, a veces haciéndose pasar por otros cibercriminales para confundir la investigación. La investigación continúa, pero aún no se han presentado cargos específicos.