Hace diez años dimos a conocer la existencia de Ebury con la publicación de un libro blanco titulado Operación Windigo, en el que documentábamos una campaña que aprovechaba el malware de Linux para obtener beneficios económicos. Hoy publicamos un documento de seguimiento sobre cómo ha evolucionado Ebury y las nuevas familias de malware que utilizan sus operadores para monetizar su red de bots de servidores Linux.

La detención y condena de uno de los autores de Ebury a raíz de la Operación Windigo no impidió que la botnet siguiera expandiéndose. Ebury, la puerta trasera OpenSSH y ladrón de credenciales, seguía actualizándose, como informamos en 2014 y 2017.

Mantenemos honeypots para rastrear nuevas muestras e indicadores de red. Sin embargo, se ha vuelto cada vez más difícil ejecutar dichos honeypots a medida que Ebury evolucionaba. Por ejemplo, uno de nuestros honeypots no reaccionó exactamente como se esperaba cuando se instaló Ebury. Después de pasar horas tratando de depurar lo que estaba pasando, los operadores de Ebury finalmente abandonaron el servidor y enviaron un mensaje para mostrar que sabían de nuestros intentos de engañarlos, como se muestra en la Figura 1.

Figure 1. Interactions between the Ebury perpetrators and an ESET-operated honeypot, showing that the operators had flagged this system as a honeypot
Figura 1. Interacciones entre los perpetradores de Ebury y un honeypot operado por ESET, mostrando que los operadores habían marcado este sistema como un honeypot

En 2021, la Unidad Nacional de Delitos de Alta Tecnología de Holanda (NHTCU) se puso en contacto con ESET después de haber encontrado Ebury en el servidor de una víctima de robo de criptomoneda. Trabajando juntos, obtuvimos una gran visibilidad de las actividades recientes del grupo y del malware que utiliza.

Ebury, Ebury en todas partes

Este trabajo revela nuevos métodos utilizados para propagar Ebury a nuevos servidores. La Figura 2 resume los métodos que pudimos documentar.

Figure 2. Different methods used by the Ebury gang to compromise new servers
Figura 2. Diferentes métodos utilizados por la banda Ebury para comprometer nuevos servidores

Entre las víctimas se encuentran muchos proveedores de alojamiento. La banda aprovecha su acceso a la infraestructura del proveedor de alojamiento para instalar Ebury en todos los servidores alquilados por dicho proveedor. Como experimento, alquilamos un servidor virtual a uno de los proveedores de alojamiento comprometidos: Ebury se instaló en nuestro servidor en siete días.

Otro método interesante es el uso de adversarios en el medio para interceptar el tráfico SSH de objetivos interesantes dentro de los centros de datos y redirigirlo a un servidor utilizado para capturar credenciales, como se resume en la Figura 3. Los operadores de Ebury aprovechan los servidores comprometidos por Ebury existentes en el mismo segmento de red que su objetivo para realizar la suplantación de ARP. Según la telemetría de Internet, en 2023 se atacaron más de 200 servidores. Entre los objetivos se encuentran nodos de Bitcoin y Ethereum. Ebury roba automáticamente las carteras de criptomonedas alojadas en el servidor atacado una vez que la víctima teclea la contraseña para iniciar sesión en él.

Figure 3. Overview of AitM attacks perpetrated by the Ebury gang
Figura 3. Visión general de los ataques AitM perpetrados por la Banda Ebury

¿Hasta qué punto son eficaces todos estos métodos? Ebury ha atacado unos 400.000 servidores desde 2009, y más de 100.000 seguían comprometidos a finales de 2023. Los autores llevan un registro de los sistemas comprometidos, y hemos utilizado esos datos para trazar una línea temporal del número de nuevos servidores añadidos a la botnet cada mes (Figura 4). Se muestra utilizando dos escalas, para demostrar algunos de los principales incidentes en los que Ebury se desplegó en decenas de miles de servidores a la vez.

Figure 4. Ebury deployments per month using two different scales on the Y axis, according to the database of compromised servers maintained by the perpetrators
Figura 4. Despliegues de Ebury al mes utilizando dos escalas diferentes en el eje Y, según la base de datos de servidores comprometidos mantenida por los autores

Monetización

Este nuevo documento descubre nuevas familias de malware utilizadas para aprovechar la botnet Ebury (Figura 5). Además del spam y la redirección del tráfico web que sigue perpetrando la banda, las solicitudes HTTP POST realizadas a y desde los servidores se aprovechan para robar datos financieros de sitios web transaccionales.

Figure 5. Multiple malware families deployed on Ebury-infested servers and the impact for potential victims
Figura 5. Múltiples familias de malware desplegadas en servidores infestados por Ebury y el impacto para las víctimas potenciales

Ocultación más profunda

La propia familia de malware Ebury también se ha actualizado. La nueva actualización de la versión principal, 1.8, se vio por primera vez a finales de 2023. Entre las actualizaciones se encuentran nuevas técnicas de ofuscación, un nuevo algoritmo de generación de dominios (DGA) y mejoras en el rootkit userland utilizado por Ebury para ocultarse de los administradores del sistema. Cuando está activo, se oculta el proceso, el archivo, el socket e incluso la memoria mapeada (Figura 6).

Figure 6. Differences (in unified format) in OpenSSH server and Bash maps files when under the Ebury userland rootkit
Figura 6. Diferencias (en formato unificado) en el servidor OpenSSH y los archivos de  mapas de Bash cuando están bajo el rootkit userland de Ebury

¿Quieres saber más? ¿Estoy en peligro?

El nuevo documento, Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain, entra en más detalles sobre cada uno de los aspectos de Ebury, incluyendo muchos detalles técnicos.

Los indicadores de compromiso también están disponibles en el repositorio GitHub malware-ioc de ESET, y un script de detección está en el repositorio malware-research.

Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, por favor contáctenos en threatintel@eset.com
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.