El grupo Ebury con su malware y botnet sigue creciendo

ESET Research ha publicado su investigación en profundidad sobre una de las campañas de malware más avanzadas, que sigue incrementando su acción y ha visto cientos de miles de servidores comprometidos en su operación de al menos 15 años de duración.

Entre las actividades del grupo de malhechores y red de bots Ebury a lo largo de los años ha estado la propagación de spam, redireccionamientos de tráfico web y robo de credenciales.  En los últimos años, el grupo se ha diversificado hacia el robo de tarjetas de crédito y criptomonedas.

Además, Ebury se ha desplegado como puerta trasera para comprometer casi 400.000 servidores Linux, FreeBSD y OpenBSD, de los que más de 100.000 seguían afectados a finales de 2023. En muchos casos, los operadores de Ebury pudieron obtener acceso completo a grandes servidores de ISP y conocidos proveedores de alojamiento.

Hace diez años, ESET publicó una investigación sobre la Operación Windigo, donde se utilizaban múltiples familias de malware trabajando de forma conjunta con la familia Ebury como núcleo. A finales de 2021, la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos (NHTCU), que forma parte de la policía nacional holandesa, se puso en contacto con ESET en relación con unos servidores de los Países Bajos sospechosos de estar infectados con el malware Ebury. Esas sospechas resultaron ser fundadas y, con la ayuda de NHTCU, ESET Research ha obtenido una visibilidad considerable de las operaciones dirigidas por los delincuentes responsables de Ebury.

“Tras la publicación del documento Windigo a principios de 2014, uno de los autores fue detenido en la frontera entre Finlandia y Rusia en 2015, y posteriormente extraditado a Estados Unidos. Aunque en un principio se declaró inocente, finalmente aceptó los cargos en 2017, unas semanas antes de que se celebrara su juicio en el Tribunal de Distrito de los Estados Unidos en Minneapolis, y donde estaba previsto que testificaran los investigadores de ESET”, señala Marc-Etienne M. Léveillé, investigador de ESET que examinó Ebury durante más de una década.

Ebury, activo al menos desde 2009, es una puerta trasera OpenSSH y un ladrón de credenciales. Se utiliza para desplegar malware adicional con el fin de: monetizar la red de bots (como módulos para redirigir el tráfico web), enviar tráfico proxy para spam, realizar ataques de intermediario (AitM) y alojar infraestructura maliciosa de apoyo. En los ataques AitM, ESET ha observado más de 200 objetivos en más de 75 redes de 34 países diferentes entre febrero de 2022 y mayo de 2023. 

Bots Ebury que roban carteras de criptomonedas, credenciales y datos de tarjetas de crédito. Los investigadores han descubierto nuevas familias de malware creadas y desplegadas por la banda con fines lucrativos, incluidos módulos de Apache y un módulo de kernel para redirigir el tráfico web. Los operadores de Ebury también utilizaron vulnerabilidades zero-day en el software del administrador para comprometer servidores en masa.

Una vez comprometido un sistema, se extraen una serie de datos. Utilizando las contraseñas y claves conocidas obtenidas en ese sistema, se reutilizan las credenciales para intentar entrar en sistemas relacionados. Cada nueva versión principal de Ebury introduce algún cambio importante y nuevas funciones y técnicas de ofuscación.

Al mismo tiempo, no hay sectores que aparezcan siendo más atacados que otros. Las víctimas incluyen universidades, pequeñas y grandes empresas, proveedores de servicios de Internet, comerciantes de criptomonedas, nodos de salida de Tor, proveedores de alojamiento compartido y proveedores de servidores dedicados, por nombrar algunos.

A finales de 2019, la infraestructura de un gran y popular registrador de dominios y proveedor de alojamiento web con sede en EEUU se vio comprometida. En total, los atacantes comprometieron aproximadamente 2.500 servidores físicos y 60.000 virtuales. Una gran parte de estos servidores, si no todos, se comparten entre varios usuarios para alojar los sitios web de más de 1,5 millones de cuentas. En otro incidente, un total de 70.000 servidores de ese proveedor de alojamiento fueron comprometidos por Ebury en 2023. Kernel.org, que aloja el código fuente del núcleo de Linux, también fue víctima de Ebury.

“Ebury supone una seria amenaza y un reto para la comunidad de seguridad de Linux. No existe una solución sencilla que haga ineficaz a Ebury, pero se pueden aplicar un puñado de mitigaciones para minimizar su propagación e impacto. Una cosa de la que hay que darse cuenta es que no sólo les ocurre a las organizaciones o a las personas que menos se preocupan por la seguridad. Un montón de individuos muy conocedores de la tecnología y las grandes organizaciones se encuentran entre la lista de víctimas”, concluye Léveillé.

El dossier "Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain", dispone de información técnica y un conjunto de herramientas e indicadores para ayudar a los administradores de sistemas a determinar si sus plataformas están comprometidas por Ebury,