400.000 server Linux infettati dal botnet Ebury e casi in aumento

I botnet sono utili per gli attaccanti malintenzionati che conducono attacchi informatici.

Ebury è un malware botnet che ha disturbato i server Linux dal 2009.

Anche dopo quindici anni, continua a esistere, evolvendosi e utilizzando nuove tattiche.

I ricercatori di ESET hanno pubblicato un nuovo rapporto che descrive come il malware infetta un server e le misure per prevenirne la diffusione.

Indice dei contenuti

• Cos’è il malware botnet Ebury e qual è il suo impatto? - L’evoluzione di Ebury

Cos’è il malware botnet Ebury e qual è il suo impatto?

Il malware botnet Ebury ruba le credenziali dai server compromessi. È progettato esclusivamente per guadagni monetari poiché i dati sensibili possono essere venduti nel dark web o utilizzati per ricattare gli amministratori dei server colpiti.

In 15 anni, Ebury ha infiltrato con successo oltre 400K server Linux. Non è un numero trascurabile, ma ESET afferma che solo il 25% è compromesso.

Ciò significa che quasi 100K server sono ancora infettati e ignari della presenza di Ebury.

“I colpevoli tengono traccia dei sistemi che hanno compromesso, e abbiamo utilizzato quei dati per tracciare una cronologia del numero di nuovi server aggiunti al botnet ogni mese”, ha dichiarato ESET.

L’evoluzione di Ebury

Anche dopo che il creatore del malware botnet è stato arrestato nel 2017, ha continuato a diffondersi. ESET distribuisce regolarmente honeypot per attirare Ebury a infettarsi e studiare il malware.

Ma nel tempo, gli honeypot sono diventati incapaci di reagire all’infezione di Ebury. In un tale incidente, il malware ha audacemente inviato un messaggio “Hello ESET honeypot”.

Il malware sta migliorando nell’identificare gli honeypot, rendendo più difficile per i ricercatori.

Ebury ama prendere di mira i fornitori di hosting perché aprono porte a più server. Piuttosto che andare dopo un singolo server, catturare e spiare più server li attrae.

ESET ha affittato un server virtuale, e Ebury lo ha infettato in meno di una settimana.

Gli hacker amano anche intercettare il traffico e reindirizzare gli utenti a server che catturano le credenziali.

I nodi di criptovaluta sono obiettivi privilegiati perché ottengono accesso alle credenziali del portafoglio e poi trasferiscono il denaro.

Il malware è eccezionalmente bravo a coprire le tracce. Utilizza nuove tecniche di offuscamento per nascondersi agli occhi dell’amministratore.

L’Unità Nazionale Olandese per i Crimini ad Alta Tecnologia (NHTCU) e ESET hanno collaborato dopo aver trovato malware sul server di una vittima di furto di criptovaluta.

Per saperne di più sul malware, consulta il documento di ricerca ufficiale. Puoi anche provare uno script di rilevamento di Ebury disponibile su GitHub.