400,000 Servidores Linux Infectados por la Botnet Ebury y Casos en Aumento

Las botnets son útiles para los atacantes maliciosos que realizan ataques cibernéticos.

Ebury es un malware de botnet que ha estado afectando a servidores Linux desde 2009.

Incluso después de quince años, sigue existiendo, evolucionando y utilizando nuevas tácticas.

Los investigadores de ESET publicaron un nuevo informe que describe cómo el malware infecta un servidor y las medidas para evitar que se propague más.

Tabla de Contenidos

• ¿Qué es el Malware de Botnet Ebury y Cuál es su Impacto? - La Evolución de Ebury

¿Qué es el Malware de Botnet Ebury y Cuál es su Impacto?

El malware de botnet Ebury roba credenciales de los servidores comprometidos. Está diseñado puramente para obtener ganancias monetarias porque los datos sensibles pueden ser vendidos en la dark web o utilizados para extorsionar a los administradores de servidores afectados.

En 15 años, Ebury ha infiltrado con éxito más de 400K servidores Linux. Eso no es un número pequeño, pero ESET dice que solo el 25 por ciento están comprometidos.

Eso significa que casi 100K servidores aún están infectados y no son conscientes de la presencia de Ebury.

“Los perpetradores hacen un seguimiento de los sistemas que comprometieron, y utilizamos esos datos para trazar una línea de tiempo del número de nuevos servidores añadidos a la botnet cada mes”, dijo ESET.

La Evolución de Ebury

Incluso después de que el creador del malware de botnet fue arrestado en 2017, continuó propagándose. ESET despliega regularmente honeypots para atraer a Ebury a infectarse a sí mismo y estudiar el malware.

Pero con el tiempo, los honeypots se han vuelto ineptos para reaccionar a la infección de Ebury. En un incidente, el malware envió descaradamente un mensaje de “Hola honeypot de ESET”.

El malware está mejorando en la identificación de honeypots, lo que dificulta más el trabajo de los investigadores.

A Ebury le encanta atacar a los proveedores de hosting porque abren puertas a múltiples servidores. En lugar de atacar un solo servidor, capturar y espiar en múltiples servidores les resulta más atractivo.

ESET alquiló un servidor virtual, y Ebury lo infectó en menos de una semana.

A los hackers también les encanta interceptar tráfico y redirigir a los usuarios a servidores que capturan credenciales.

Los nodos de criptomonedas son objetivos principales porque obtienen acceso a las credenciales de las billeteras y luego transfieren el dinero.

El malware es excepcionalmente bueno en cubrir sus huellas. Utiliza nuevas técnicas de ofuscación para ocultarse de los ojos del administrador.

La Unidad Nacional de Alta Tecnología Criminal de los Países Bajos (NHTCU) y ESET colaboraron después de encontrar malware en el servidor de una víctima de robo de criptomonedas.

Para aprender más sobre el malware, consulta el documento de investigación oficial. También puedes probar un script de detección de Ebury que está disponible en GitHub.