Ebury-Botnet infiziert 400.000 Linux-Server weltweit
Jena (ots) - Der IT-Sicherheitshersteller ESET hat heute einen neuen
Forschungsbericht veröffentlicht, der das schädliche Treiben der Hacker-Gruppe
"Ebury" enthüllt. Sie infizierte mit ihrer Malware mehr als 400.000 Linux-,
FreeBSD- und OpenBSD-Server im Laufe der vergangenen 15 Jahre. Allein in den
vergangenen 18 Monaten kamen 100.000 neue Betroffene hinzu. In vielen Fällen
konnten die Ebury-Betreiber vollen Zugriff auf große Server von
Internetprovidern und bekannten Hosting-Anbietern erlangen. Die Cyberkriminellen
betreiben somit eine der fortschrittlichsten serverseitigen Malware-Kampagnen,
die immer noch im Gange ist und wächst.
Zu den Aktivitäten der Ebury-Gruppe und ihres Botnets gehörten im Laufe der
Jahre die Verbreitung von Spam, Umleitungen von Web-Traffic und der Diebstahl
von Anmeldedaten. In den letzten Jahren sind die Hacker darüber hinaus auch in
Kreditkarten- und Krypto-Währungsdiebstähle eingestiegen.
Forschungsbericht veröffentlicht, der das schädliche Treiben der Hacker-Gruppe
"Ebury" enthüllt. Sie infizierte mit ihrer Malware mehr als 400.000 Linux-,
FreeBSD- und OpenBSD-Server im Laufe der vergangenen 15 Jahre. Allein in den
vergangenen 18 Monaten kamen 100.000 neue Betroffene hinzu. In vielen Fällen
konnten die Ebury-Betreiber vollen Zugriff auf große Server von
Internetprovidern und bekannten Hosting-Anbietern erlangen. Die Cyberkriminellen
betreiben somit eine der fortschrittlichsten serverseitigen Malware-Kampagnen,
die immer noch im Gange ist und wächst.
Zu den Aktivitäten der Ebury-Gruppe und ihres Botnets gehörten im Laufe der
Jahre die Verbreitung von Spam, Umleitungen von Web-Traffic und der Diebstahl
von Anmeldedaten. In den letzten Jahren sind die Hacker darüber hinaus auch in
Kreditkarten- und Krypto-Währungsdiebstähle eingestiegen.
Ebury ist vielseitig einsetzbar
Seit mindestens 2009 dient Ebury als OpenSSH-Hintertür und zum Diebstahl von
Anmeldedaten. Sie wird verwendet, um zusätzliche Malware zu installieren, um das
Botnet zu monetarisieren (z. B. Module für die Umleitung des Web-Traffics), den
Datenverkehr für Spam zu projizieren, Adversary-in-the-Middle-Angriffe (AitM)
durchzuführen und unterstützende bösartige Infrastruktur zu hosten. Bei
AitM-Angriffen hat ESET zwischen Februar 2022 und Mai 2023 über 200 Ziele in
mehr als 75 Netzwerken in 34 verschiedenen Ländern identifiziert.
Die Betreiber haben das Ebury-Botnet verwendet, um Kryptowährungs-Wallets,
Anmeldedaten und Kreditkartendetails zu stehlen. ESET hat neue Malware-Familien
aufgedeckt, die von der Bande zu finanziellen Zwecken entwickelt und eingesetzt
wurden, darunter Apache-Module und ein Kernel-Modul zur Umleitung des
Webverkehrs. Die Ebury-Gruppe nutzt auch Zero-Day-Schwachstellen in der
Administratorensoftware aus, um Server massenhaft zu kompromittieren.
Perfide Vorgehensweise
Nachdem ein System kompromittiert wurde, exfiltriert die Malware eine Reihe von
Daten. Die dabei erbeuteten Kennwörter und Schlüssel werden wiederverwendet, um
sich bei verwandten Systemen anzumelden. Jede neue Hauptversion von Ebury bringt
einige wichtige Änderungen sowie neue Funktionen und Verschleierungstechniken
mit sich.
"Wir haben Fälle dokumentiert, in denen die Infrastruktur von Hosting-Anbietern
durch Ebury kompromittiert wurde. Hierbei wurde Ebury auf Servern eingesetzt,
die von diesen Anbietern vermietet wurden, ohne dass die Mieter gewarnt wurden.
Seit mindestens 2009 dient Ebury als OpenSSH-Hintertür und zum Diebstahl von
Anmeldedaten. Sie wird verwendet, um zusätzliche Malware zu installieren, um das
Botnet zu monetarisieren (z. B. Module für die Umleitung des Web-Traffics), den
Datenverkehr für Spam zu projizieren, Adversary-in-the-Middle-Angriffe (AitM)
durchzuführen und unterstützende bösartige Infrastruktur zu hosten. Bei
AitM-Angriffen hat ESET zwischen Februar 2022 und Mai 2023 über 200 Ziele in
mehr als 75 Netzwerken in 34 verschiedenen Ländern identifiziert.
Die Betreiber haben das Ebury-Botnet verwendet, um Kryptowährungs-Wallets,
Anmeldedaten und Kreditkartendetails zu stehlen. ESET hat neue Malware-Familien
aufgedeckt, die von der Bande zu finanziellen Zwecken entwickelt und eingesetzt
wurden, darunter Apache-Module und ein Kernel-Modul zur Umleitung des
Webverkehrs. Die Ebury-Gruppe nutzt auch Zero-Day-Schwachstellen in der
Administratorensoftware aus, um Server massenhaft zu kompromittieren.
Perfide Vorgehensweise
Nachdem ein System kompromittiert wurde, exfiltriert die Malware eine Reihe von
Daten. Die dabei erbeuteten Kennwörter und Schlüssel werden wiederverwendet, um
sich bei verwandten Systemen anzumelden. Jede neue Hauptversion von Ebury bringt
einige wichtige Änderungen sowie neue Funktionen und Verschleierungstechniken
mit sich.
"Wir haben Fälle dokumentiert, in denen die Infrastruktur von Hosting-Anbietern
durch Ebury kompromittiert wurde. Hierbei wurde Ebury auf Servern eingesetzt,
die von diesen Anbietern vermietet wurden, ohne dass die Mieter gewarnt wurden.