400,000 Linux-серверов заражены ботнетом Ebury, случаи растут

Ботнеты полезны для злоумышленников, которые проводят кибератаки.

Ebury — это вредоносное ПО ботнета, которое беспокоит Linux-серверы с 2009 года.

Даже спустя пятнадцать лет оно продолжает существовать, эволюционируя и используя новые тактики.

Исследователи ESET опубликовали новый отчет, описывающий, как вредоносное ПО заражает сервер и меры по предотвращению его дальнейшего распространения.

Содержание

• Что такое вредоносное ПО ботнета Ebury и каково его влияние? - Эволюция Ebury

Что такое вредоносное ПО ботнета Ebury и каково его влияние?

Вредоносное ПО ботнета Ebury крадет учетные данные с скомпрометированных серверов. Оно разработано исключительно для получения денежной выгоды, поскольку конфиденциальные данные могут быть проданы в даркнете или использованы для шантажа администраторов затронутых серверов.

За 15 лет Ebury успешно проник в более чем 400K Linux-серверов. Это не маленькое число, но ESET утверждает, что только 25 процентов из них скомпрометированы.

Это означает, что почти 100K серверов все еще заражены и не подозревают о присутствии Ebury.

«Преступники отслеживают системы, которые они скомпрометировали, и мы использовали эти данные, чтобы построить временную шкалу количества новых серверов, добавленных в ботнет каждый месяц», — сказал ESET.

Эволюция Ebury

Даже после ареста создателя вредоносного ПО ботнета в 2017 году, оно продолжало распространяться. ESET регулярно разворачивает ловушки, чтобы заманить Ebury в заражение и изучение вредоносного ПО.

Но со временем ловушки стали неэффективны в реагировании на заражение Ebury. В одном из таких инцидентов вредоносное ПО нагло отправило сообщение «Привет, ловушка ESET».

Вредоносное ПО становится все лучше в определении ловушек, что усложняет работу исследователей.

Ebury любит нацеливаться на хостинг-провайдеров, потому что они открывают доступ к нескольким серверам. Вместо того чтобы атаковать один сервер, захват и слежка за несколькими серверами им более привлекательны.

ESET арендовал виртуальный сервер, и Ebury заразил его менее чем за неделю.

Хакеры также любят перехватывать трафик и перенаправлять пользователей на серверы, которые захватывают учетные данные.

Узлы криптовалюты являются первоочередными целями, потому что они получают доступ к учетным данным кошельков и затем переводят деньги.

Вредоносное ПО исключительно хорошо скрывает свои следы. Оно использует новые техники обфускации, чтобы скрыться от глаз администратора.

Национальное управление по борьбе с высокими технологиями Нидерландов (NHTCU) и ESET сотрудничали после обнаружения вредоносного ПО на сервере жертвы кражи криптовалюты.

Чтобы узнать больше о вредоносном ПО, ознакомьтесь с официальной исследовательской работой. Вы также можете попробовать скрипт для обнаружения Ebury, который доступен на GitHub.