Investigación de ESET presentada en ESET WORLD 2024 Global Security Conference
ESET Research ha publicado hoy su investigación en profundidad sobre una de las campañas de malware más avanzadas orientada a servidores, que sigue creciendo y ha visto cientos de miles de servidores comprometidos en su operación de al menos 15 años de duración. Entre las actividades del infame grupo y red de bots Ebury a lo largo de los años, ha estado la propagación de spam, redireccionamientos de tráfico web y robo de credenciales. En los últimos años, el grupo se ha diversificado hacia el robo de tarjetas de crédito y criptomonedas. Además, Ebury se ha desplegado como puerta trasera para comprometer casi 400.000 servidores Linux, FreeBSD y OpenBSD; más de 100.000 seguían comprometidos a finales de 2023. En muchos casos, los operadores de Ebury pudieron obtener acceso completo a grandes servidores de ISP y conocidos proveedores de alojamiento.
Hace diez años, ESET publicó una investigación sobre la Operación Windigo, donde se utilizaban múltiples familias de malware que trabajando de forma conjunta, con la familia de malware Ebury como núcleo. A finales de 2021, la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos (NHTCU), que forma parte de la policía nacional holandesa, se puso en contacto con ESET en relación con unos servidores de los Países Bajos sospechosos de estar infectados con el malware Ebury. Esas sospechas resultaron ser fundadas y, con la ayuda de NHTCU, ESET Research ha obtenido una visibilidad considerable de las operaciones dirigidas por los delincuentes responsables de Ebury.
“Tras la publicación del documento Windigo a principios de 2014, uno de los autores fue detenido en la frontera entre Finlandia y Rusia en 2015, y posteriormente extraditado a Estados Unidos. Aunque en un principio se declaró inocente, finalmente se declaró culpable de los cargos en 2017, unas semanas antes de que se celebrara su juicio en el Tribunal de Distrito de los Estados Unidos en Minneapolis, y donde estaba previsto que testificaran los investigadores de ESET”, Marc-Etienne M. Léveillé, investigador de ESET que examinó Ebury durante más de una década.
Ebury, activo al menos desde 2009, es una puerta trasera OpenSSH y un ladrón de credenciales. Se utiliza para desplegar malware adicional con el fin de: monetizar la red de bots (como módulos para redirigir el tráfico web), enviar tráfico proxy para spam, realizar ataques de intermediario (AitM) y alojar infraestructura maliciosa de apoyo. En los ataques AitM, ESET ha observado más de 200 objetivos en más de 75 redes de 34 países diferentes entre febrero de 2022 y mayo de 2023.
Sus operadores han utilizado la red de bots Ebury para robar carteras de criptomonedas, credenciales y datos de tarjetas de crédito. ESET ha descubierto nuevas familias de malware creadas y desplegadas por la banda con fines lucrativos, incluidos módulos de Apache y un módulo de kernel para redirigir el tráfico web. Los operadores de Ebury también utilizaron vulnerabilidades zero-day en el software del administrador para comprometer servidores en masa.
Una vez comprometido un sistema, se extraen una serie de datos. Utilizando las contraseñas y claves conocidas obtenidas en ese sistema, se reutilizan las credenciales para intentar entrar en sistemas relacionados. Cada nueva versión principal de Ebury introduce algún cambio importante y nuevas funciones y técnicas de ofuscación.
“Hemos documentado casos en los que la infraestructura de proveedores de alojamiento se ha visto comprometida por Ebury. En estos casos, hemos visto cómo Ebury se desplegaba en servidores alquilados por esos proveedores, sin avisar a los arrendatarios. Esto dio lugar a casos en los que los actores de Ebury pudieron comprometer miles de servidores a la vez«, afirma Léveillé. No hay límites geográficos para Ebury; hay servidores comprometidos con Ebury en casi todos los países del mundo. Cuando un proveedor de alojamiento se veía comprometido, daba lugar a un gran número de servidores comprometidos en los mismos centros de datos.
Al mismo tiempo, no hay sectores que aparezcan siendo más atacados que otros. Las víctimas incluyen universidades, pequeñas y grandes empresas, proveedores de servicios de Internet, comerciantes de criptomonedas, nodos de salida de Tor, proveedores de alojamiento compartido y proveedores de servidores dedicados, por nombrar algunos.
A finales de 2019, la infraestructura de un gran y popular registrador de dominios y proveedor de alojamiento web con sede en Estados Unidos se vio comprometida. En total, los atacantes comprometieron aproximadamente 2.500 servidores físicos y 60.000 virtuales. Una gran parte de estos servidores, si no todos, se comparten entre varios usuarios para alojar los sitios web de más de 1,5 millones de cuentas. En otro incidente, un total de 70.000 servidores de ese proveedor de alojamiento fueron comprometidos por Ebury en 2023. Kernel.org, que aloja el código fuente del núcleo de Linux, también fue víctima de Ebury.
“Ebury supone una seria amenaza y un reto para la comunidad de seguridad de Linux. No existe una solución sencilla que haga ineficaz a Ebury, pero se pueden aplicar un puñado de mitigaciones para minimizar su propagación e impacto. Una cosa de la que hay que darse cuenta es que no sólo les ocurre a las organizaciones o a las personas que menos se preocupan por la seguridad. Un montón de individuos muy conocedores de la tecnología y las grandes organizaciones se encuentran entre la lista de víctimas”, concluye Léveillé.
Despliegues mensuales de Ebury utilizando dos escalas diferentes en el eje Y, según la base de datos de servidores comprometidos que mantienen los autores
Marc-Étienne Léveillé. Accede al artículo de la investigación en inglés aquí.