Компанія ESET повідомляє про виявлення небезпечної активності групи кіберзлочинців Ebury, яка скомпрометувала сотні тисяч серверів принаймні за 15 років. Серед діяльності зловмисників та ботнета Ebury — поширення спаму, перенаправлення вебтрафіку та викрадення облікових даних. За останні роки також були зафіксовані випадки викрадення даних банківських карток та криптовалюти.

Зокрема Ebury було використано як бекдор для компрометації майже 400 тисяч серверів Linux, FreeBSD та OpenBSD. Варто зазначити, що станом на кінець 2023 року понад 100 тисяч все ще були скомпрометовані. У багатьох випадках зловмисники Ebury могли отримати повний доступ до великих серверів Інтернет-провайдерів та відомих хостинг-провайдерів.

Скомпрометовані сервери є майже у всіх країнах світу. Серед жертв цієї групи кіберзлочинців — університети, малі та великі підприємства, Інтернет-провайдери, торговці криптовалютою, вузли виходу Tor, провайдери віртуального хостингу та виділених серверів тощо.

Які шкідливі методи використовували зловмисники?

Ebury, який активний принаймні з 2009 року, є бекдором OpenSSH та інструментом для викрадення облікових даних. Він використовується для розгортання додаткового шкідливого програмного забезпечення з метою монетизації ботнету (наприклад, модулів для перенаправлення вебтрафіку), поширення спаму, виконання атак «людина посередині», а також як хост для шкідливої інфраструктури. У період з лютого 2022 року до травня 2023 року спеціалісти ESET виявили понад 200 цілей у понад 75 мережах у 34 країнах.

«Ми виявили інциденти, коли інфраструктура хостинг-провайдерів була скомпрометована групою Ebury. У цих випадках було зафіксовано розгортання Ebury на серверах, орендованих цими постачальниками. Це призвело до компрометації тисячі серверів ботнетом Ebury одночасно, — коментує Марк-Етьєн М. Левей, дослідник ESET. — Ebury становить серйозну загрозу для безпеки Linux. Хоча простого рішення для знешкодження Ebury не існує, можна мінімізувати його поширення та вплив».

Крім того, зловмисники використовували ботнет Ebury для викрадення криптовалюти, облікових та банківських даних. Хакери Ebury також використовували «0-денні» уразливості в програмному забезпеченні адміністратора, щоб масово зламати сервери.

Після зламу системи ряд деталей перехоплюється зловмисниками. Використовуючи відомі паролі та ключі, отримані в цій системі, облікові дані повторно використовуються для спроб входу в пов’язані системи.

Для зменшення ризиків інфікування подібними загрозами спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема створювати надійні паролі та використовувати багатофакторну автентифікацію, не переходити за невідомими посиланнями в електронних листах та вчасно оновлювати програмне забезпечення, а також встановити рішення для захисту пристроїв корпоративної мережі від сучасних векторів атак.