Depois de anos devastando servidores de computador para fraudar milhões de dólares, os operadores da notória botnet Ebury caíram nas sombras em 2021. De repente, eles ressurgiram com um estrondo.
As novas evidências surgiram durante uma investigação policial na Holanda. Um roubo de criptomoeda foi relatado à Unidade Nacional Holandesa de Crimes de Alta Tecnologia (NHTCU). No servidor da vítima, os ciberpoliciais encontraram um inimigo familiar: Ebury.
A descoberta revelou um novo alvo para o malware. Ebury diversificou-se para roubar carteiras Bitcoin e detalhes de cartão de crédito.
A NHTCU procurou assistência de ESETuma empresa eslovaca de segurança cibernética. O pedido reabriu um caso que Marc-Etienne Léveillé investiga há mais de uma década.
Em 2014, o pesquisador da ESET colaborou-autoria um papel branco nas operações de botnet. Ele chamou Ebury de “backdoor Linux mais sofisticado já visto” por sua equipe.
Os cibercriminosos usam o Ebury como um poderoso backdoor e ladrão de credenciais. Depois de entrar em um servidor, o botnet também pode implantar mais malware, redirecionar visitantes da web para anúncios fraudulentos e executar tráfego de proxy para enviar spam. Segundo autoridades norte-americanas, a operação gerou receitas fraudulentas de milhões de dólares.
“Está muito bem feito e eles conseguiram permanecer fora do radar por tantos anos”, disse Léveillé à TNW.
Um ano após a publicação do artigo original da ESET, um suposto operador da Ebury foi preso na Finlândia. Seu nome era Maxim Senakh. As autoridades finlandesas extraditaram então o cidadão russo para os EUA.
O homem de 41 anos acabou se confessando culpado de um conjunto reduzido de acusações de fraude informática. Em 2017, ele foi condenado a quase quatro anos de prisão.
Em um Comunicado de imprensao Departamento de Justiça dos EUA disse Ebury infectou “dezenas de milhares” de servidores em todo o mundo. No entanto, isso foi apenas uma fração do total.
Olá ESET honeypot
Enquanto o teste de Senakh avançava, os pesquisadores da ESET rodavam honeypots para rastrear os próximos movimentos de Ebury. Eles descobriram que a botnet ainda estava se expandindo e recebendo atualizações. Mas o seu trabalho de detetive não ficou oculto por muito tempo.
“Estava ficando cada vez mais difícil tornar os honeypots indetectáveis”, diz Léveillé. “Eles tinham muitas técnicas para vê-los.”
Um honeypot reagiu de forma estranha quando o Ebury foi instalado. Os operadores da botnet abandonaram então o servidor. Eles também enviaram uma mensagem aos seus adversários: “Olá honeypot ESET!”
À medida que o caso esfriava, outro estava se desenvolvendo na Holanda.
No final de 2021, o A NHTCU criou outra vantagem para a ESET. Trabalhando em conjunto, a unidade de crimes cibernéticos e a empresa de segurança cibernética investigaram a evolução de Ebury.
“A botnet cresceu”, diz Léveillé. “Houve novas vítimas e incidentes ainda maiores.”
A ESET estima agora que a Ebury comprometeu cerca de 400.000 servidores desde 2009. Num único incidente no ano passado, 70.000 servidores de um fornecedor de alojamento foram infectados pelo malware. No final de 2023, mais de 100.000 servidores de um provedor de hospedagem ainda estavam comprometidos.
Alguns desses servidores foram usados para roubos de cartões de crédito e criptomoedas.
A botnet vem para Bitcoin
Para roubar criptomoeda, Ebury implantou adversário no meio ataques (AitM), uma técnica sofisticada de phishing usada para acessar credenciais de login e informações de sessão.
Ao aplicar o AitM, o botnet interceptou tráfego de rede de alvos interessantes dentro de data centers. O tráfego foi então redirecionado para um servidor que capturou as credenciais.
Os hackers também aproveitaram servidores que Ebury já havia infectado. Quando esses servidores estão no mesmo segmento de rede do novo alvo, eles fornecem uma plataforma para falsificação.
Entre os alvos lucrativos estavam os nós Bitcoin e Ethereum. Assim que a vítima inseriu sua senha, Ebury roubou automaticamente carteiras de criptomoedas hospedadas no servidor.
Os ataques AitM forneceram um novo método poderoso de monetizar rapidamente a botnet.
“O roubo de criptomoedas nunca foi visto antes”, diz Léveillé.
A investigação holandesa continua
A variedade de vítimas de Ebury também cresceu. Eles agora abrangem universidades, pequenas e grandes empresas e comerciantes de criptomoedas. Eles também incluem provedores de serviços de Internet, nós de saída Tor, provedores de hospedagem compartilhada e provedores de servidores dedicados.
Para ocultar os seus crimes, os operadores da Ebury utilizam frequentemente identidades roubadas para alugar infra-estruturas de servidores e conduzir os seus ataques. Essas técnicas levam os investigadores na direção errada.
“Eles são muito bons em confundir a atribuição”, Léveillé diz.
O NHTCU encontrou mais evidências do ofuscamento. Em um novo documento técnico da ESETdestacaram os combatentes do crime holandeses diversas técnicas de anonimato.
As pegadas digitais de Ebury muitas vezes provaram ser falsas, disse a NTCU. Os rastros frequentemente levavam a pessoas (aparentemente) inocentes.
Os operadores também usaram o monikers e credenciais de cibercriminosos conhecidos para tirar os investigadores da trilha. Em um servidor de backup apreendido, a NHTCU encontrou uma cópia completa de um site ilícito com logins coletados por outros criminosos.
“Assim, o grupo Ebury não só se beneficia do roubo das credenciais de login já roubadas, mas também está em posição de usar as credenciais dos cibercriminosos que as roubam”, disse a unidade policial holandesa.
“Consequentemente, eles podem criar uma ‘cobertura cibercriminosa’ apontando em outras direções além deles mesmos.”
Apesar destas pistas falsas, a NHTCU afirma que “várias identidades digitais promissoras” estão a ser ativamente procuradas. Enquanto isso, Léveille está fazendo outra pausa em sua investigação de 10 anos.
“Não está fechado, mas não tenho certeza sobre quem está por trás disso”, diz ele. “Isso ainda é uma incógnita – pelo menos para mim.”