Le botnet Ebury compromet près de 400 000 serveurs Linux sur 15 ans pour voler des crypto-monnaies

MADRID, le 17 mai. (Portail/EP) –

Les chercheurs d’ESET ont partagé leurs progrès sur le ‘botnet’Eburyun « logiciel malveillant » qui, au cours de son 15 ans d’activitéha engagé autour de 400 000 serveurs Linux, dont 100 000 encore compromis fin 2023pour lui vol de cryptomonnaie et cartes bancaires.

Il est connu comme ‘botnet’ vers un ensemble de réseaux d’appareils informatiquesen tant que donneurs de commandes, appelés « robots », qui, infecté par un « logiciel malveillant » Ils sont contrôlés à distance par des acteurs malveillants et peuvent être utilisés ensemble pour mener des activités malveillantes.

Le botnet Ebury est actif depuis 2009 et a été utilisé au cours des 15 dernières années comme porte dérobée pour compromettre environ 400 000 serveurs Linux, reeBSD et OpenBSD, 100 000 d’entre eux étaient encore violés à la fin de l’année dernière 2023.

Les experts en cybersécurité ont prévenu que « dans bon nombre de ces cas », les acteurs malveillants derrière Ebury ont pu obtenez un accès complet aux « grands serveurs de FAI et de fournisseurs d’hébergement bien connus ». En conséquence, il a été atteint vol de cartes de crédit et même crypto-monnaies.

Cela a été détaillé par les chercheurs d’ESET dans un étude approfondie le botnet Ebury, dans lequel ils le définissent comme “l’une des campagnes de ‘malware’ côté serveur les plus avancées.”

ESET signalé pour la première fois sur Ebury en 2014avec la publication d’un document technique sur le Opération Windigoune campagne dans laquelle les cybercriminels ont utilisé plusieurs familles de logiciels malveillants travaillant ensemble, « avec la famille de logiciels malveillants Ebury au cœur ».

En conséquence, comme l’a rappelé l’entreprise dans un déclaration sur leur site Webla National High-Tech Crime Unit (NHTCU) est intervenue et a finalement arrêté l’un des acteurs malveillants à l’origine de cette campagne.

Actuellement, ESET a identifié l’utilisation d’Ebury pour envoyer du trafic proxy vers « spam » et mener des attaques d’adversaire dans le support (AitM) sur plus de 200 ciblescomme nœuds des crypto-monnaies Bitcoin et Ethereumrépartis sur 75 réseaux et 34 pays différents, parmi lesquels Février 2022 et mars 2023. Grâce à lui, les cybercriminels ont réussi à voler des crypto-monnaies, des informations d’identification et des données de carte de crédit des utilisateurs.

De plus, dans leur mode opératoire, les chercheurs ont découvert que les cybercriminels créé et mis en œuvre de nouvelles familles de « logiciels malveillants » tirer profit du « botnet », y compris un module noyau -fichier contenant du code pouvant être étendu au noyau du système d’exploitation- pour rediriger le trafic Web.

De même, les cybercriminels d’Ebury ont également utilisé vulnérabilités Zero Day dans le « logiciel » d’administrateur pour compromettre massivement davantage de serveurs.

MENACE POUR LA COMMUNAUTÉ LINUX

Selon les recherches d’ESET, les dernières victimes d’Ebury incluent à la fois les universités, comme petites et grandes entreprisesles fournisseurs de services Internet et commerçants de crypto-monnaie. Comme l’a souligné investigador de ESET Marc-Etienne M. Léveillé, “Il n’y a pas de limite géographique à Ebury”car il existe actuellement des serveurs compromis dans presque tous les pays du monde.

Dans ce contexte, Léveillé a souligné qu’Ebury “représente une menace et un défi sérieux pour la communauté de sécurité Linux”, puisque, actuellement “Il n’y a pas de solution simple cela rend Ebury inefficace.

Il a également averti que les « logiciels malveillants » d’Ebury n’affectent pas seulement ceux qui « ne se soucient pas de la sécurité », mais que « la liste des victimes comprend de nombreuses personnes très au courant de la technologie et de grandes organisations ».