Ebury, una botnet attiva da oltre 15 anni, continua a minacciare la sicurezza online con la sua azione spietata. Finora, ha infettato quasi 400.000 server Linux, rappresentando una delle minacce più serie per l’infrastruttura digitale. Gli esperti di sicurezza di ESET hanno rilevato un aumento degli attacchi condotti dai gestori di Ebury, evidenziando la crescente aggressività e sofisticazione delle loro tattiche.
L’evoluzione di Ebury nel corso degli anni è stata monitorata da ESET attraverso l’uso di “honeypot”, sistemi esca progettati per tracciare gli attacchi informatici. Questa botnet utilizza varie tecniche per infiltrarsi nei server Linux, inclusa la nota pratica del credential stuffing, che consente l’accesso non autorizzato attraverso l’utilizzo di credenziali rubate o compromesse.
Tra le tattiche utilizzate dai cybercriminali di Ebury vi è anche l’Adversary-in-the-Middle (AitM) attack, che consente loro di intercettare il traffico SSH e catturare le chiavi di autenticazione. Inoltre, sfruttano vulnerabilità software per ottenere l’accesso non autorizzato ai server, utilizzando l’infrastruttura del provider di hosting per diffondere ulteriormente l’infezione.
Una volta compromessi, i server vengono sfruttati per svariate attività dannose, tra cui l’invio di spam, il reindirizzamento del traffico verso siti web infetti e il furto di dati sensibili, come informazioni di pagamento e credenziali di accesso. Questi dati possono essere utilizzati direttamente per compiere frodi finanziarie o venduti sul dark web, alimentando il mercato illegale delle informazioni personali.
A fine 2023, i gestori di Ebury hanno introdotto nuove tecniche di offuscamento e un algoritmo per la generazione automatica di domini, al fine di eludere i sistemi di rilevamento delle minacce. Questo dimostra la continua adattabilità e la pericolosità di questa botnet, che rappresenta una seria minaccia per la sicurezza online e richiede un costante impegno da parte della comunità della cybersecurity per contrastarla efficacemente.
