La botnet Ebury compromete cerca de 400.000 servidores Linux durante 15 años para el robo de criptomonedas

Archivo - Criptomoneda Bitcoin
Archivo - Criptomoneda Bitcoin - ESET - Archivo
Actualizado: viernes, 17 mayo 2024 17:34

   MADRID, 17 May. (Portaltic/EP) -

   Investigadores de ESET han compartido avances sobre la 'botnet' Ebury, 'malware' que, durante sus 15 años en activo, ha comprometido alrededor de 400.000 servidores Linux, 100.000 de ellos aún vulnerados a finales de 2023, para el robo de criptomonedas y tarjetas bancarias.

   Se conoce como 'botnet' a un conjunto de redes de dispositivos informáticos, como ordenadores, denominados 'bots', que, infectados con 'malware' son controlados de forma remota por actores maliciosos y pueden ser utilizados de manera conjunta para realizar actividades maliciosas.

Desde 2009 lleva activa la 'botnet' Ebury, que en los los últimos 15 años se ha utilizado como puerta trasera para comprometer alrededor de 400.000 servidores Linux, reeBSD y OpenBSD, 100.000 de ellos aún vulnerados a finales del pasado año 2023.

   Los expertos en ciberseguridad han advertido que "en muchos de estos casos", los actores maliciosos detrás de Ebury han podido obtener acceso completo a "grandes servidores de ISP y proveedores de alojamientos conocidos". Como resultado, se ha conseguido el robo de tarjetas de crédito e, incluso, de criptomonedas.

   Así lo han detallado los investigadores de ESET en un estudio en profundidad la botnet Ebury, en la que la definen como "una de las campañas de 'malware' del lado del servidor más avanzadas".

   ESET informó por primera vez sobre Ebury en 2014, con la publicación de un documento técnico sobre la Operación Windigo, una campaña en la que ciberdelincuentes utilizaron múltiples familias de 'malware' que trabajaban conjuntamente, "con la familia de 'malware' Ebury como núcleo".

   Como resultado, según ha recordado la compañía en un comunicado en su web, intervino la Unidad Nacional Holandesa contra Delitos de Alta Tecnología (NHTCU), que acabó arrestando a uno de los actores maliciosos detrás de esta campaña.

   Actualmente, desde ESET han identificado el uso de Ebury para enviar tráfico proxy para 'spam' y realizar ataques de adversario en el medio (AitM) en más de 200 objetivos, como nodos de las criptomonedas Bitcoin y Ethereum, repartidos en 75 redes y 34 países diferentes, entre febrero de 2022 y marzo de 2023. Con ella, los ciberdelincuentes han conseguido robar criptomonedas, credenciales y datos de tarjetas de crédito de usuarios.

   Además, en su modus operandi, los investigadores han descubierto que los ciberdelincuentes crearon e implementaron nuevas familias de 'malware' para obtener ganancias con la 'botnet', incluido un módulo de kernel -archivo que contiene código que se puede extender al núcleo del sistema operativo- para redirigir el tráfico web.

   Igualmente, los ciberdelincuentes operadores de Ebury también utilizaron vulnerabilidades de día cero en el 'software' de administrador para comprometer más servidores de forma masiva.

AMENAZA PARA LA COMUNIDAD DE LINUX

   Según la investigación de ESET, las víctimas finales de Ebury incluyen tanto universidades, como pequeñas y grandes empresas, proveedores de servicios de Internet y comerciantes de criptomonedas. Como ha señalado el investigador de ESET Marc-Etienne M. Léveillé, "no existe ningún límite geográfico para Ebury", ya que actualmente hay servidores comprometidos en casi todos los países a nivel global.

   En este marco, Léveillé ha subrayado que Ebury "plantea una seria amenaza y un desafío para la comunidad de seguridad de Linux", ya que, actualmente "no existe una solución sencilla que haga que Ebury sea ineficaz".

   También ha advertido de que el 'malware' de Ebury no solo afecta a aquellos que "se preocupan menos por la seguridad", sino que "en la lista de víctimas se encuentran muchas personas muy conocedoras de la tecnología y grandes organizaciones".

Leer más acerca de: