400.000 Linux-Server durch Ebury-Botnetz infiziert & Fälle steigen

Botnets sind nützlich für böswillige Angreifer, die Cyberangriffe durchführen.

Ebury ist eine solche Botnetz-Malware, die seit 2009 Linux-Server plagt.

Selbst nach fünfzehn Jahren existiert sie weiterhin, entwickelt sich weiter und nutzt neue Taktiken.

ESET-Forscher veröffentlichten einen neuen Bericht, der beschreibt, wie Malware einen Server infiziert und welche Maßnahmen ergriffen werden können, um eine weitere Verbreitung zu verhindern.

Inhaltsverzeichnis

• Was ist Ebury-Botnetz-Malware und was ist ihre Auswirkung? - Eburys Entwicklung

Was ist Ebury-Botnetz-Malware und was ist ihre Auswirkung?

Ebury-Botnetz-Malware stiehlt Anmeldeinformationen von den kompromittierten Servern. Sie ist rein auf monetären Gewinn ausgelegt, da sensible Daten im Dark Web verkauft oder zur Erpressung betroffener Server-Admins verwendet werden können.

In 15 Jahren hat Ebury erfolgreich über 400.000 Linux-Server infiltriert. Das ist keine kleine Zahl, aber ESET sagt, dass nur 25 Prozent kompromittiert sind.

Das bedeutet, dass fast 100.000 Server weiterhin infiziert sind und sich der Präsenz von Ebury nicht bewusst sind.

„Die Täter behalten den Überblick über die Systeme, die sie kompromittiert haben, und wir haben diese Daten genutzt, um einen Zeitstrahl der Anzahl neuer Server zu erstellen, die jeden Monat zum Botnetz hinzugefügt werden“, sagte ESET.

Eburys Entwicklung

Selbst nachdem der Schöpfer der Botnetz-Malware 2017 verhaftet wurde, setzte sie ihre Verbreitung fort. ESET setzt regelmäßig Honeypots ein, um Ebury dazu zu bringen, sich selbst zu infizieren und die Malware zu studieren.

Aber im Laufe der Zeit sind die Honeypots ineffektiv geworden, um auf Eburys Infektion zu reagieren. In einem solchen Vorfall sendete die Malware dreist eine „Hallo ESET-Honeypot“-Nachricht.

Die Malware verbessert sich darin, Honeypots zu identifizieren, was es den Forschern erschwert.

Ebury zielt gerne auf Hosting-Anbieter ab, da diese Zugang zu mehreren Servern ermöglichen. Anstatt einen Server anzugreifen, ist es für sie attraktiver, mehrere Server zu erfassen und auszuspionieren.

ESET mietete einen virtuellen Server, und Ebury infizierte ihn in weniger als einer Woche.

Hacker lieben es auch, den Datenverkehr abzufangen und Benutzer auf Server umzuleiten, die Anmeldeinformationen erfassen.

Kryptowährungs-Knoten sind Hauptziele, da sie Zugang zu Wallet-Anmeldeinformationen erhalten und dann das Geld transferieren.

Die Malware ist außergewöhnlich gut darin, Spuren zu verwischen. Sie verwendet neue Obfuskationstechniken, um sich vor den Augen des Administrators zu verstecken.

Die niederländische Nationale Einheit für Hochtechnologiek crime (NHTCU) und ESET arbeiteten zusammen, nachdem sie Malware auf dem Server eines Opfers von Kryptowährungsdiebstahl gefunden hatten.

Um mehr über die Malware zu erfahren, lesen Sie das offizielle Forschungspapier. Sie können auch ein Ebury-Erkennungsskript ausprobieren, das auf GitHub verfügbar ist.