Компанія ESET повідомила про виявлення небезпечної активності групи кіберзлочинців Ebury, яка скомпрометувала сотні тисяч серверів за 15 років. Серед діяльності зловмисників та ботнета Ebury — поширення спаму, перенаправлення вебтрафіку та викрадення облікових даних. За останні роки також були зафіксовані випадки викрадення даних банківських карток та криптовалюти.
Зокрема, Ebury було використано як бекдор для компрометації майже 400 000 серверів Linux, FreeBSD та OpenBSD.
"Варто зазначити, що станом на кінець 2023 року понад 100 000 все ще були скомпрометовані. У багатьох випадках зловмисники Ebury могли отримати повний доступ до великих серверів Інтернет-провайдерів та відомих хостинг-провайдерів", - повідомили в компанії.
Зазначається, що скомпрометовані сервери є майже у всіх країнах світу.
"Серед жертв цієї групи кіберзлочинців — університети, малі та великі підприємства, Інтернет-провайдери, торговці криптовалютою, вузли виходу Tor, провайдери віртуального хостингу та виділених серверів тощо", - кажуть в ESET.
Які шкідливі методи використовували зловмисники?
Ebury, який активний принаймні з 2009 року, є бекдором OpenSSH та інструментом для викрадення облікових даних. Він використовується для розгортання додаткового шкідливого програмного забезпечення з метою монетизації ботнету (наприклад, модулів для перенаправлення вебтрафіку), поширення спаму, виконання атак "людина посередині", а також як хост для шкідливої інфраструктури. У період з лютого 2022 року до травня 2023 року спеціалісти ESET виявили понад 200 цілей у понад 75 мережах у 34 країнах.
"Ми виявили інциденти, коли інфраструктура хостинг-провайдерів була скомпрометована групою Ebury. У цих випадках було зафіксовано розгортання Ebury на серверах, орендованих цими постачальниками. Це призвело до компрометації тисячі серверів ботнетом Ebury одночасно, — коментує Марк-Етьєн М. Левей, дослідник ESET. — Ebury становить серйозну загрозу для безпеки Linux. Хоча простого рішення для знешкодження Ebury не існує, можна мінімізувати його поширення та вплив".
Крім того, зловмисники використовували ботнет Ebury для викрадення криптовалюти, облікових та банківських даних. Хакери Ebury також використовували "0-денні" уразливості в програмному забезпеченні адміністратора, щоб масово зламати сервери.
Після зламу системи ряд деталей перехоплюється зловмисниками. Використовуючи відомі паролі та ключі, отримані в цій системі, облікові дані повторно використовуються для спроб входу в пов’язані системи.
Для зменшення ризиків інфікування подібними загрозами спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема створювати надійні паролі та використовувати багатофакторну автентифікацію, не переходити за невідомими посиланнями в електронних листах та вчасно оновлювати програмне забезпечення, а також встановити рішення для захисту пристроїв корпоративної мережі від сучасних векторів атак.
Довідка:
ESET — експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.
ESET в Україні:
Майже 20 років продукти ESET офіційно представлені на території України. Починаючи з 2005 року, користувачі мають можливість безкоштовно звернутися за допомогою до служби технічної підтримки ESET в Україні, а також пройти курси навчання щодо використання продуктів компанії ESET. Користувачами ESET є найбільші українські та міжнародні компанії та організації.
