Киберпреступники атаковали 400 тысяч серверов Linux / иллюстрация ua.depositphotos.com

Компания ESET сообщила об обнаружении опасной активности группы киберпреступников Ebury, которая скомпрометировала сотни тысяч серверов за 15 лет. Среди деятельности злоумышленников и ботнета Ebury - распространение спама, перенаправление веб-трафика и похищение учетных данных. За последние годы также были зафиксированы случаи похищения данных банковских карт и криптовалюты.

В частности, Ebury был использован как бэкдор для компрометации почти 400 000 серверов Linux, FreeBSD и OpenBSD.

"Стоит отметить, что по состоянию на конец 2023 года более 100 000 все еще были скомпрометированы. Во многих случаях злоумышленники Ebury могли получить полный доступ к большим серверам Интернет-провайдеров и известных хостинг-провайдеров", - сообщили в компании.

Видео дня

Отмечается, что скомпрометированные серверы есть почти во всех странах мира.

"Среди жертв этой группы киберпреступников - университеты, малые и крупные предприятия, Интернет-провайдеры, торговцы криптовалютой, узлы выхода Tor, провайдеры виртуального хостинга и выделенных серверов и т.д.", - говорят в ESET.

Какие вредоносные методы использовали злоумышленники?

Ebury, который активен по крайней мере с 2009 года, является бэкдором OpenSSH и инструментом для кражи учетных данных. Он используется для развертывания дополнительного вредоносного программного обеспечения с целью монетизации ботнета (например, модулей для перенаправления веб-трафика), распространения спама, выполнения атак "человек посередине", а также как хост для вредоносной инфраструктуры. В период с февраля 2022 года по май 2023 года специалисты ESET обнаружили более 200 целей в более чем 75 сетях в 34 странах.

"Мы обнаружили инциденты, когда инфраструктура хостинг-провайдеров была скомпрометирована группой Ebury. В этих случаях было зафиксировано развертывание Ebury на серверах, арендованных этими поставщиками. Это привело к компрометации тысячи серверов ботнетом Ebury одновременно, – комментирует Марк-Этьен М. Левей, исследователь ESET. – Ebury представляет серьезную угрозу для безопасности Linux. Хотя простого решения для обезвреживания Ebury нет, можно минимизировать его распространение и влияние".

Кроме того, злоумышленники использовали ботнет Ebury для похищения криптовалюты, учетных и банковских данных. Хакеры Ebury также использовали "0-дневные" уязвимости в программном обеспечении администратора, чтобы массово взломать серверы.

После взлома системы ряд деталей перехватывается злоумышленниками. Используя известные пароли и ключи, полученные в этой системе, аккаунты повторно используются для попыток входа в связанные системы.

Для уменьшения рисков заражения подобными угрозами специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности, создавать надежные пароли и использовать многофакторную аутентификацию, не переходить по неизвестным ссылкам в электронных письмах и своевременно обновлять программное обеспечение, а также установить решение для защиты устройств корпоративной сети от современных векторов атак.

Справка:

ESET - эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.

ESET в Украине:

Почти 20 лет продукты ESET официально представлены на территории Украины. Начиная с 2005 года, пользователи имеют возможность бесплатно обратиться за помощью в службу технической поддержки ESET в Украине, а также пройти курсы обучения по использованию продуктов компании ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации.