400 000 serveurs Linux infectés par le botnet Ebury et les cas en augmentation

Les botnets sont utiles pour les attaquants malveillants qui mènent des attaques de cybersécurité.

Ebury est un tel malware de botnet qui trouble les serveurs Linux depuis 2009.

Même après quinze ans, il reste en existence, évoluant et utilisant de nouvelles tactiques.

Les chercheurs d’ESET ont publié un nouveau rapport décrivant comment le malware infecte un serveur et les mesures à prendre pour empêcher sa propagation.

Table des matières

• Qu’est-ce que le malware de botnet Ebury et quel est son impact ? - L’évolution d’Ebury

Qu’est-ce que le malware de botnet Ebury et quel est son impact ?

Le malware de botnet Ebury vole les identifiants des serveurs compromis. Il est conçu uniquement pour un gain monétaire car des données sensibles peuvent être vendues sur le dark web ou utilisées pour faire chanter les administrateurs de serveurs affectés.

En 15 ans, Ebury a réussi à infiltrer plus de 400K serveurs Linux. Ce n’est pas un petit nombre, mais ESET affirme que seulement 25 pour cent sont compromis.

Cela signifie que près de 100K serveurs sont toujours infectés et ignorent la présence d’Ebury.

« Les auteurs gardent une trace des systèmes qu’ils ont compromis, et nous avons utilisé ces données pour établir une chronologie du nombre de nouveaux serveurs ajoutés au botnet chaque mois », a déclaré ESET.

L’évolution d’Ebury

Même après l’arrestation du créateur du malware de botnet en 2017, il a continué à se propager. ESET déploie régulièrement des honeypots pour attirer Ebury à s’infecter et étudier le malware.

Mais avec le temps, les honeypots sont devenus incapables de réagir à l’infection d’Ebury. Dans un tel incident, le malware a audacieusement envoyé un message « Bonjour honeypot ESET ».

Le malware s’améliore dans l’identification des honeypots, rendant la tâche plus difficile pour les chercheurs.

Ebury aime cibler les fournisseurs d’hébergement car ils ouvrent des portes vers plusieurs serveurs. Plutôt que de s’attaquer à un seul serveur, capturer et espionner plusieurs serveurs les attire.

ESET a loué un serveur virtuel, et Ebury l’a infecté en moins d’une semaine.

Les hackers aiment également intercepter le trafic et rediriger les utilisateurs vers des serveurs qui capturent des identifiants.

Les nœuds de cryptomonnaie sont des cibles de choix car ils accèdent aux identifiants de portefeuille et transfèrent ensuite l’argent.

Le malware est exceptionnellement bon pour couvrir ses traces. Il utilise de nouvelles techniques d’obfuscation pour se cacher des yeux de l’administrateur.

L’Unité nationale néerlandaise de lutte contre la criminalité technologique (NHTCU) et ESET ont collaboré après avoir trouvé du malware sur le serveur d’une victime de vol de cryptomonnaie.

Pour en savoir plus sur le malware, consultez le document de recherche officiel. Vous pouvez également essayer un script de détection d’Ebury qui est disponible sur GitHub.