Miles de servidores Linux todavía están infectados con Ebury, un malware que roba información desde hace décadas y que se creía extinto.
Ebury es un sofisticado malware diseñado para comprometer los sistemas basados en Linux, especialmente los servidores. Es un tipo de malware que opera como puerta trasera y roba credenciales, lo que permite a los atacantes obtener acceso no autorizado a los sistemas comprometidos.
Los desarrolladores de Ebury están motivados financieramente y recientemente también se han expandido al espacio de las criptomonedas. Ebury también parece utilizarse para redirigir spam y tráfico web.
Dirigirse a proveedores de alojamiento
Cuando los investigadores de ciberseguridad de ESET informaron por primera vez sobre Ebury hace una década, el informe condujo al arresto de los operadores de malware. Sin embargo, eso no impidió que el malware se actualizara y creciera en los años siguientes. En total, desde 2009, alrededor de 400.000 servidores Linux han sido infectados por esta puerta trasera.
A finales del año pasado, se creía que más de 100.000 terminales todavía portaban la infección, según un informe de seguimiento (PDF) publicado por ESET a principios de esta semana.
Los investigadores descubrieron que las principales víctimas de Ebori parecen ser los proveedores de servicios de hosting. “La pandilla aprovecha su acceso a la infraestructura del proveedor de hosting para instalar Ebury en todos los servidores alquilados por ese proveedor”, explicaron. Como parte del experimento, alquilaron un servidor virtual y fueron infectados en una semana.
“Otro método interesante es utilizar un adversario en el medio para interceptar el tráfico SSH de objetivos de interés dentro de los centros de datos y redirigirlo a un servidor utilizado para capturar credenciales”, agregaron.
El año pasado, los operadores de Ebury atacaron más de 200 servidores. Entre los objetivos se encontraban varios nodos de Bitcoin y Ethereum, y una de las principales características de Ebury era robar automáticamente carteras de criptomonedas alojadas en el servidor objetivo, una vez que la víctima inicia sesión con una contraseña.
a través de pitidocomputadora