400.000 Servidores Linux Infectados pelo Botnet Ebury e Casos em Alta

Botnets são úteis para atacantes maliciosos que realizam ataques cibernéticos.

Ebury é um desses malwares de botnet que tem incomodado servidores Linux desde 2009.

Mesmo após quinze anos, ele continua existindo, evoluindo e usando novas táticas.

Pesquisadores da ESET publicaram um novo relatório descrevendo como o malware infecta um servidor e as medidas para evitar que ele se espalhe ainda mais.

Tabela de Conteúdos

• O que é o Malware Botnet Ebury e Qual é Seu Impacto? - A Evolução do Ebury

O que é o Malware Botnet Ebury e Qual é Seu Impacto?

O malware botnet Ebury rouba credenciais dos servidores comprometidos. Ele é projetado puramente para ganho monetário, pois dados sensíveis podem ser vendidos na dark web ou usados para chantagear administradores de servidores afetados.

Em 15 anos, o Ebury infiltrou-se com sucesso em mais de 400 mil servidores Linux. Esse não é um número pequeno, mas a ESET afirma que apenas 25 por cento estão comprometidos.

Isso significa que quase 100 mil servidores ainda estão infectados e inconscientes da presença do Ebury.

“Os perpetradores acompanham os sistemas que comprometeram, e usamos esses dados para traçar uma linha do tempo do número de novos servidores adicionados à botnet a cada mês”, disse a ESET.

A Evolução do Ebury

Mesmo após o criador do malware botnet ter sido preso em 2017, ele continuou a se espalhar. A ESET regularmente implementa honeypots para atrair o Ebury a se infectar e estudar o malware.

Mas, com o tempo, os honeypots se tornaram incapazes de reagir à infecção do Ebury. Em um desses incidentes, o malware descaradamente enviou uma mensagem “Olá honeypot ESET”.

O malware está melhorando em identificar honeypots, tornando mais difícil para os pesquisadores.

O Ebury adora atacar provedores de hospedagem porque eles abrem portas para múltiplos servidores. Em vez de atacar um único servidor, capturar e espionar múltiplos servidores é mais atraente para eles.

A ESET alugou um servidor virtual, e o Ebury o infectou em menos de uma semana.

Os hackers também adoram interceptar tráfego e redirecionar usuários para servidores que capturam credenciais.

Nós de criptomoeda são alvos primários porque eles obtêm acesso às credenciais da carteira e, em seguida, transferem o dinheiro.

O malware é excepcionalmente bom em cobrir rastros. Ele usa novas técnicas de ofuscação para se esconder dos olhos do administrador.

A Unidade Nacional de Alta Tecnologia em Crimes (NHTCU) da Holanda e a ESET colaboraram após encontrar malware no servidor de uma vítima de roubo de criptomoeda.

Para saber mais sobre o malware, confira o artigo de pesquisa oficial. Você também pode tentar um script de detecção do Ebury que está disponível no GitHub.