09 de abril de 2024Sala de prensaBotnet / Crypto Mining Se ha observado que un grupo de amenazas de presunto origen rumano llamado RUBYCARP mantiene una botnet de larga duración para llevar a cabo criptominería, denegación de servicio distribuido (DDoS) y ataques de phishing. El grupo, que se cree que ha estado activo durante al menos 10 años, emplea la botnet para obtener ganancias financieras, dijo Sysdig en un informe compartido con The Hacker News. «Su principal método de operación aprovecha una botnet implementada utilizando una variedad de exploits públicos y ataques de fuerza bruta», dijo la firma de seguridad en la nube. «Este grupo se comunica a través de redes IRC públicas y privadas». La evidencia recopilada hasta el momento sugiere que RUBYCARP puede haberse cruzado con otro grupo de amenazas rastreado por la firma albanesa de ciberseguridad Alphatechs bajo el nombre de Outlaw, que tiene un historial de realizar criptominería y ataques de fuerza bruta y desde entonces ha recurrido a campañas de phishing y Spearphishing para lanzar una amplia red. «Estos correos electrónicos de phishing a menudo atraen a las víctimas para que revelen información confidencial, como credenciales de inicio de sesión o detalles financieros», dijo el investigador de seguridad Brenton Isufi en un informe publicado a finales de diciembre de 2023. Un aspecto notable del oficio de RUBYCARP es el uso de un malware llamado ShellBot ( también conocido como PerlBot) para violar los entornos de destino. También se ha observado que explota fallas de seguridad en Laravel Framework (p. ej., CVE-2021-3129), una técnica también adoptada por otros actores de amenazas como AndroxGh0st. En una señal de que los atacantes están ampliando su arsenal de métodos de acceso inicial para ampliar la escala de la botnet, Sysdig dijo que descubrió señales de que los sitios de WordPress estaban comprometidos utilizando nombres de usuario y contraseñas de uso común. «Una vez que se obtiene el acceso, se instala una puerta trasera basada en el popular Perl ShellBot», dijo la compañía. «El servidor de la víctima se conecta entonces a un [Internet Relay Chat] servidor que actúa como comando y control y se une a la botnet más grande». Se estima que la botnet comprende más de 600 hosts, con el servidor IRC («chat.juicessh[.]pro») creado el 1 de mayo de 2023. Depende en gran medida de IRC para las comunicaciones generales, así como para administrar sus botnets y coordinar campañas de criptominería. Además, los miembros del grupo, llamados Juice_, Eugen, Catalin, MUIE y Smecher, entre otros, se comunican a través de un canal IRC de Undernet llamado #cristi. También se utiliza una herramienta de escaneo masivo para encontrar nuevos hosts potenciales. La llegada de RUBYCARP a la escena de las amenazas cibernéticas no es sorprendente dada su capacidad para aprovechar la botnet para alimentar diversos flujos de ingresos ilícitos, como criptominería y operaciones de phishing para robar números de tarjetas de crédito. Si bien parece que los datos de las tarjetas de crédito robadas se utilizan para comprar infraestructura de ataque, también existe la posibilidad de que la información pueda monetizarse a través de otros medios. «Estos actores de amenazas también están involucrados en el desarrollo y venta de armas cibernéticas, lo cual no es muy común», dijo Sysdig. «Tienen un gran arsenal de herramientas que han construido a lo largo de los años». años, lo que les da una gran flexibilidad a la hora de realizar sus operaciones. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.