En un reciente informe publicado por la firma eslovaca de ciberseguridad ESET, se revela la sorprendente magnitud de la amenaza que representa el malware conocido como Ebury. Este botnet ha comprometido más de 400,000 servidores Linux desde 2009, con más de 100,000 aún bajo su control hasta finales de 2023.
Ebury, caracterizado como uno de los más avanzados ataques de malware a nivel de servidor con fines de lucro, ha estado operando en las sombras, generando ganancias a través de diversas actividades fraudulentas. Según el análisis profundo realizado por el investigador de seguridad Marc-Etienne M.Léveillé, los operadores de Ebury se han dedicado a la propagación de spam, redirección de tráfico web y robo de credenciales.
El malware Ebury, inicialmente documentado como parte de la campaña de Operación Windigo hace más de una década, ha sido utilizado para desplegar una serie de backdoors y scripts destinados a manipular el tráfico web y enviar spam. La complejidad de este botnet ha sido tal que, en agosto de 2017, un ciudadano ruso, Maxim Senakh, fue sentenciado a casi cuatro años de prisión en Estados Unidos por su participación en el desarrollo y mantenimiento de este malware.
Los métodos de entrega de Ebury son diversos y sofisticados, desde el robo de credenciales SSH hasta la explotación de vulnerabilidades en paneles de control web y ataques de intermediarios en SSH. Además, los actores de amenazas detrás de Ebury han sido observados utilizando identidades falsas o robadas para cubrir sus huellas, complicando los esfuerzos de atribución.
La versión más reciente de Ebury, la 1.8.2, presenta nuevas técnicas de ofuscación y un algoritmo de generación de dominios (DGA), lo que dificulta aún más su detección. Este malware actúa como un backdoor dentro del demonio OpenSSH y un ladrón de credenciales, permitiendo a los atacantes desplegar cargas adicionales y expandir su presencia dentro de una red comprometida.
Además de robar información de tarjetas de crédito y criptomonedas, Ebury ha sido utilizado para interceptar solicitudes HTTP y enviar spam, aprovechando los servidores comprometidos para redirigir tráfico y capturar detalles confidenciales de formularios en línea.
En vista de la complejidad y el impacto potencial de este malware, es crucial que las organizaciones refuercen sus medidas de seguridad cibernética, desde la implementación de parches de seguridad hasta la vigilancia proactiva de la actividad sospechosa en sus redes.
En Devel, nos comprometemos a mantenernos a la vanguardia en la lucha contra amenazas cibernéticas como Ebury, proporcionando soluciones efectivas y asesoramiento experto para proteger los activos digitales de nuestros clientes.