Gli esperti di Eset hanno rilevato un aumento degli attacchi effettuati dai gestori di Ebury. Si tratta di una botnet usata dai cybercriminali per infettare quasi 400.000 server Linux a partire dal 2009 (circa 100.000 solo nel 2023) con il principale obiettivo principale di rubare informazioni sensibili, come credenziali e dati delle carte di credito.
Eset segue l’evoluzione della botnet da molti anni attraverso vari “honeypot”, sistemi esca usati per tracciare gli attacchi. Per quelli più recenti è stata usata la tecnica nota come credential stuffing per l’accesso iniziale ai server Linux, principalmente di hosting provider e clienti che noleggiano server virtuali.
I cybercriminali possono anche usare un attacco AitM (Adversary-in-the-Middle) per intercettare il traffico SSH e quindi catturare le chiavi di autenticazione. Una terza opzione prevede lo sfruttamento di vulnerabilità software. La stessa infrastruttura del provider viene utilizzata per infettare gli altri server. Nel caso di server che ospitano wallet di criptovalute, il furto delle credenziali permette di svuotare i portafogli digitali.
Sui server compromessi vengono installati diversi moduli per la monetizzazione degli attacchi. I server sono utilizzati come proxy per le campagne di spam, il reindirizzamento del traffico verso siti infetti e il furto dei dati di pagamento. Le informazioni raccolte vengono usate direttamente (ad esempio, i dati delle carte di credito) oppure vendute nel dark web (ad esempio, le credenziali di login).
A fine 2023, i gestori della botnet hanno introdotto nuove tecniche di offuscamento e un algoritmo per la generazione automatica di domini per evitare la rilevazione.